ICTRecht in de praktijk

03 - september 2014

ICTRecht in de praktijk

Bitcoins: de gevolgen van decentralisatie Hoe om te gaan met ethische hackers? Checklist software op maat Wat speelt er bij Interconnect? Internetrechtspraak Wet- en regelgeving

Tweedehands verkoop van softwarelicenties De asymmetrie van beveiliging Berzona vs Nebula Terugblik: onze training “De nieuwe privacywet” Trainingsprogramma ICTRecht - 1

Index Heeft u uw juridische zaken goed geregeld?

Zeker op het gebied van ICT is dit geen eenvoudige zaak. Voorkom juridische ICT-problemen en laat ICTRecht u deskundig en praktisch adviseren. Dat hoeft helemaal niet duur te zijn: naast maatwerk leveren wij standaardproducten en juridische generatoren. ICTRecht is een flexibel en creatief juridisch adviesbureau. Wij bedienen zowel de grote als de kleine klant. Onze adviezen zijn begrijpelijk, concreet en geven blijk van technische kennis.Onze mensen zijn dan ook juridisch en technisch thuis in onze niche.

Wij kunnen u van dienst zijn met:

Hoe om te gaan met ethische hackers

4

Wet- en regelgeving

8

De asymmetrie van beveiliging

10

Checklist software op maat

12

Wat speelt er bij Interconnect?

16

Terugblik: “De nieuwe privacywet”

19

Bitcoins: de gevolgen van decentralisatie

21

Internetrechtspraak 24

Juridische documenten - Juridisch advies Trainingen - Generatoren - Boeken

Directie Arnoud Engelfriet en Steven Ras

Berzona vs Nebula

30

Tweedehands verkoop van softwarelicenties

32

Trainingsprogramma 34

Hoe zag het internetrecht er tien jaar geleden uit? De vragen die ons toen net opgerichte kantoor kreeg, betroffen toch vaak dezelfde materie als nu.

ICTRecht bestaat 10 jaar Op 11 november 2004 werd ICTRecht voor het eerst ingeschreven bij de Kamer van Koophandel. Om dit heugelijke feit te vieren, staat de maand november bij ICTRecht in het teken van dit jubileum. Houd onze website en social media in de gaten!

Wie is er verantwoordelijk voor backups en verloren data, wie heeft het auteursrecht en wanneer is er sprake van inbreuk. De casussen en antwoorden worden wel steeds complexer, zeker nu diensten naar de cloud gaan en de afhankelijkheid van ICT sterk is gegroeid. Ook tien jaar geleden stond informatie online, maar de cloud is een lastiger grijpbaar fenomeen dan de klassieke website of databaseserver.

Colofon Dit is een uitgave van ICTRecht B.V., Sarphatistraat 610-612, 1018 AV, Amsterdam, 020-6631941, [email protected]. Dit tijdschrift verschijnt vier keer per jaar. Proeftijdschrift is op aanvraag beschikbaar. Abonnementsprijs is € 135,- per jaar, inclusief verzendkosten in Nederland. Aan deze uitgave werkten mee: Arnoud Engelfriet - auteur - [email protected] Steven Ras - auteur - [email protected] Itte Overing - auteur - [email protected]

Een nieuw fenomeen is responsible disclosure oftewel hacken te goeder trouw. In het hoofdartikel leest u hoe u daarmee om moet gaan.

Maaike Lassche - auteur - [email protected] Niels Winters - auteur - [email protected] Lisette Meij - juridisch adviseur en opleidingscoördinator - [email protected] Daphne Dekker-Kooij – (eind)redactie - [email protected] Arjan van Amsterdam - vormgeving - [email protected]

Meer informatie over hoe werken?Bezoek Bezoek ictrecht.nl. Meerwij informatie? ictrecht.nl

Ook besteden we aandacht aan handel in tweedehands software en het fenomeen Bitcoin. Wederom hebben wij een over­ zicht van wetgeving en jurisprudentie.

Brenno de Winter - columnist Foto’s auteurs: Geert de Jong - CheeseWorks.nl Foto’s pagina 16 en 17: Interconnect B.V.

ICTRecht - 3

Auteur: Arnoud Engelfriet Partner

Hoe om te gaan met ethische hackers? “Dag, jullie website is zo lek als een mandje. Ik heb net even wat geprobeerd en ik kan zomaar adresgegevens van klanten opvragen met een simpele SQL injectie. Dat moeten jullie zo snel mogelijk fixen! Hoor graag van jullie; als ik maandag geen reactie heb, dan zal een bevriende journalist worden ingelicht.” Hoe zou u reageren wanneer uw bedrijf deze mail ontving? Ethisch inbreken Het fenomeen “ethisch hacken” is al sinds jaar en dag bekend binnen de ICT-sector. Een ethisch hacker is iemand die vanuit nobele motieven handelt, en geen winstoogmerk nastreeft. Het gaat hem er niet om rijk te worden of om gegevens te verkrijgen, maar juist om te zorgen dat de wereld een beetje beter wordt doordat computersystemen beter worden beschermd of minder fouten vertonen. De hackerscene zoals die eind jaren zeventig is gegroeid, heeft deze ethiek altijd hoog in het vaandel gehad. Er werd (en wordt) dan ook flink neergekeken op kwaadaardige hackers, die uit zijn op persoonlijke roem, zo veel mogelijk rommel willen trappen of die hun kunsten verkopen aan de hoogste bieder. Nu steeds meer computersystemen en databases op internet aangesloten worden, blijkt steeds vaker dat hier beveiligingsfouten in aanwezig zijn. Soms heel geavanceerde, maar helaas vaak ook bijzonder triviale. De hacker uit de (fictieve) mail aan het begin van dit artikel verwijst naar een ‘SQL injectie’, een van

4 - ICTRecht

de bekendste hacktechnieken. Hierbij wordt in een formulier op de website niet alleen een tekst ingevuld, maar ook een commando voor database-servers (in de daarbij gebruikte taal SQL). Een webserver die ingezonden webformulieren niet goed controleert, zal dan dit commando vrolijk uitvoeren, met alle gevolgen van dien: vul als naam in “Arnoud; SELECT * FROM klanten” en ontvang alle klantgegevens. Of gebruik het commando DELETE in plaats van SELECT en verwijder alle klantgegevens. Omdat dit soort fouten en onveiligheden wijd verbreid zijn, zien veel ethische hackers het als hun morele plicht bedrijven erop te wijzen dat het probleem bestaat. Dat kan zijn nadat men toevallig de fout ontdekte, maar even zo vaak gaat men opzettelijk op zoek naar fouten op een regenachtige zondagmiddag. En dan ontvangt u dus mails zoals aan het begin van dit artikel.

Juridische stappen Voor de hand ligt om juridische stappen te nemen tegen een dergelijke actie. Het is immers strafbaar als computer-

vredebreuk (art. 138ab Strafrecht) om binnen te dringen in een computersysteem, en sinds 2008 is het daarbij geen vereiste meer dat enige beveiliging wordt doorbroken. Enkel weten dat men ergens niet mag zijn, is genoeg om te mogen spreken van ‘binnendringen’. Iemand die opzettelijk rare commando’s gaat sturen om toegang tot uw klantenbestand te krijgen, is overduidelijk aan het binnendringen. De tipgever handelde dus strafbaar. De ervaring leert echter dat het opnemen van een aangifte op dit gebied niet meevalt. Niet iedere politieagent beschikt over voldoende technische kennis, nog afgezien van het feit dat opsporing meestal lage prioriteit krijgt wanneer er geen aantoonbare economische schade is geleden of de aanval geen bedreiging voor de nationale veiligheid of essentiële dienstverlening vormt. Een civiele procedure opstarten kan natuurlijk altijd. U kunt dan een schadevergoeding vorderen of een verbod met dwangsom. Met een stevige juridische brief kunt u de hacker proberen over te

halen een voorschot op die schade te betalen, en een onthoudingsverklaring laten tekenen met een stevige contractuele boete mocht hij het nog eens proberen. Maar of dat werkt? Hoeveel hackers zich laten afschrikken van publicatie door zo’n brief is niet te meten. Maar uit de (zeer) weinige gepubliceerde rechtszaken waarin partijen aansprakelijk gesteld werden voor inbreken of andere computercriminaliteit zonder kwade bedoelingen, blijkt dat de rechter niet snel meegaat met de eis. Zo werd in 2009 de eis van een e-learningbedrijf tegen een hackende cursist afgewezen met de opmerking dat zijn actie en melding “juist [was] gericht op het behartigen van het belang van [het bedrijf], die dit zeer wel zó kon begrijpen en er zó ook profijt van had kunnen hebben”. En chipsmaker NXP kreeg in een kort geding over publicatie van een rapport met zwakheden van de Mifare-chip (het fundament van de OV-chipkaart) te horen dat de dreigende schade “in hoge mate toegerekend moet worden aan het produceren en in het verkeer brengen van een chip met intrinsieke manco’s, wat de verant-

woordelijkheid van NXP is”. Politicus Henk Krol werd recentelijk dan weer wel veroordeeld voor het onthullen van een zwakheid in het Elektronisch Patiënten Dossier, maar dan met name omdat hij te snel naar de pers was gestapt.

Hacken en de pers En in dat “naar de pers stappen” zit vaak de pijn. De ‘tip’ van de ethische hacker uit de aanhef zou heel anders hebben geklonken zonder die laatste zin: “als ik maandag geen reactie heb dan zal een bevriende journalist worden ingelicht”. Dat klinkt als een dreigement, uw bedrijf wordt maandag in de krant of op Nu.nl aan de schandpaal genageld. En wie gaat dreigen, hoeft weinig sympathie te verwachten. De bedoeling van deze toevoeging is echter u aan te sporen tot actie. Veel bedrijven blijken namelijk geneigd te zijn om dergelijke meldingen onder de pet te houden, in plaats van actie te ondernemen en het lek te dichten. De gedachte is dan dat zolang niemand weet van de fout, er geen misbruik van gemaakt zal worden. Echter, criminele

hackers blijken vaak al lang te weten van zulke fouten en profiteren er flink van. De security- en hackerwereld heeft dan ook de staande praktijk ontwikkeld om beveiligingsfouten zo snel mogelijk openbaar te maken, zodat bedrijven en instellingen deze kunnen opsporen en verhelpen bij hun eigen systemen. Zomaar zaken openbaar maken is niet netjes. Vandaar dat ethische hackers over het algemeen vooraf het getroffen bedrijf informeren en zo de gelegenheid gunnen de fout te herstellen of schadebeperkende maatregelen te nemen. De publicatie wordt dan uitgesteld totdat dit is gebeurd, zodat kwaadwillende lezers van de publicatie vervolgens geen misbruik kunnen maken van de fout bij het getroffen bedrijf. Echter, nadat bedrijven met enige regelmaat jarenlang talmden met het herstellen van de fout, of zelfs nooit in actie kwamen, werd de communis opinio dat men na een redelijke termijn mocht publiceren in zo’n situatie. Dit wordt responsible disclosure (‘verantwoord onthullen’) genoemd. Men onthult fouten

ICTRecht - 5

Voorbeeldtekst

om zo de stand der techniek vooruit te helpen, maar neemt zijn verantwoordelijkheid door het bedrijf eerst de schade te laten beperken. Wel dient een bedrijf dat ook daadwerkelijk te doen natuurlijk. Een bedrijf dat meldingen negeert of melders bedreigt met juridische stappen, zal de volgende keer pas in de krant lezen waar zij nog meer beveiligingslekken heeft.

Responsible disclosure-beleid

3. In overleg wordt een termijn afgesproken waarna de melder de kwetsbaarheid openbaar mag maken, bij voorkeur 60 dagen als het gaat om softwaregerelateerde fouten en zes maanden bij hardware. Denk bij het laatste aan bijvoorbeeld een kwetsbaarheid in een product dat nu op de markt is. 4. Bij een niet of moeilijk op te lossen kwetsbaarheid (of bij hoge kosten) kan in dat overleg worden afgespro-

Goed omgaan met hackers die volgens de principes van responsible disclosure werken, is een verstandig idee. Het Nationaal Cyber Security Centrum (onderdeel van het Ministerie van Veiligheid en Justitie) heeft in januari 2013 een Leidraad gepubliceerd over hoe om te gaan met zulke meldingen van ethische hackers. De gedachte hierachter is dat het juist nuttig is als slimme, ethische hackers aan de bel trekken bij bedrijven die kwetsbare websites of internetdiensten hebben. Zie het als een digitale vorm van zaakwaarneming. Het NCSC beveelt aan dat ieder bedrijf voor zichzelf bepaalt welke vormen van ethisch hacken voor hen toegestaan en behulpzaam zou zijn, en daar vervolgens gepubliceerd beleid en een afhandelproces voor ontwikkelt. In de basis zou zo’n proces er als volgt uit moeten zien, volgens het NCSC: 1. De organisatie stelt een meldpunt in voor meldingen over kwetsbaarheden en zorgt ervoor dat het meldpunt de kennis heeft om meldingen adequaat op te vangen en door te leiden naar de verantwoordelijke afdeling. 2. Het meldpunt bevestigt ontvangst van meldingen, en treedt in overleg met de melder over de verdere afhandeling.

6 - ICTRecht

8. De organisatie belooft in het beleid geen juridische stappen te nemen tegen de melder indien conform het beleid wordt gehandeld. Dit proces dient gepaard te gaan met gepubliceerd beleid over het soort meldingen dat men wel of niet zou willen ontvangen. Een voorbeeld van hoe dergelijk beleid eruit zou kunnen zien, vindt u hiernaast. Gebruikelijk is bijvoorbeeld om “denial of service”-aanvallen, waarbij de webserver compleet overbelast wordt, buiten het beleid te laten. Het is immers algemeen bekend dat iedere webserver onderuit gaat met voldoende overbelasting. Dit ‘testen’ dient dan geen redelijk doel. Maar constateren dat een online webshop gratis bestellingen mogelijk maakt als men “&test=1” toevoegt aan het webadres, is iets dat u als exploitant wél graag zou willen weten. Ook worden vaak uitgesloten:

ken geen disclosure te doen. Een organisatie dient hier echter terughoudend mee te zijn. 5. De organisatie houdt de melder op de hoogte van de voortgang. 6. Nadat het probleem opgelost is, publiceert het bedrijf hier zelf over of laat zij dit aan de melder. In onderling overleg zelf een publicatie doen, is natuurlijk ook mogelijk. De melder kan anoniem willen blijven of juist een vermelding willen krijgen. 7. De organisatie kan een beloning of waardering geven voor een melding, mits men zich aan de spelregels houdt.

• Fysieke aanvallen: de techniek voor het fysiek beveiligen van panden en infrastructuur is ver genoeg gevorderd dat ieder bedrijf dit zelf aan kan. Bovendien gaat een dergelijke aanval vrijwel altijd gepaard met schade, zoals geforceerde sloten. • Social engineering: het ‘ompraten’ of voor de gek houden van personeel om ze over te halen iets te doen dat niet de bedoeling is, zoals hun wachtwoord afgeven aan de hacker die zich voordoet als een auditor (of bedrijfsjurist) die een beveiligingstest uitvoert. De hacker moet binnen dit proces beloven de melding geheim te houden totdat het bedrijf het probleem heeft opgelost. Blijkt een oplossing onmogelijk, dan

moet een alternatief worden verzonnen (zie punt 4 van het proces hierboven). Er kan worden gekozen om de fout onder de pet te houden, maar realiseer u wel dat dit niet per se effectief is: een ander kan de fout ook ontdekken en misbruiken. En als u publiceert, is er wellicht iemand die wél weet hoe de fout te herstellen.

Crimineel of behulpzaam De discussie of ethische hackers nu behulpzaam zijn of juist gewoon criminelen, zal nog lang blijven woeden. Het doet immers gek aan; iemand die uw bedrijfsauto’s gaat openbreken om “aan te tonen dat de sloten slecht zijn” gaan we ook geen beloning geven. Hoewel? Als u de kluis open ziet staan bij een klant, zal deze vast blij zijn als u hem erop wijst. Waar dan de grens te trekken? Feit is echter dat ethische hackers bestaan, en zich ook bij uw bedrijf kunnen melden. En zolang software nog zeer frequent ernstige fouten bevat die tot grote maatschappelijke schade of onrust kunnen leiden (zoals bij datalekken van persoonsgegevens), is het zaak meldingen serieus te nemen. Spelregels daarbij helpen u dit in goede banen te leiden en onnodig snelle publicaties te vermijden totdat problemen zijn opgelost. Met een goed responsible disclosure-beleid heeft u dus veel te winnen.

Bij vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is. Als u een zwakke plek in één van onze systemen heeft gevonden horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. Wij vragen u: • Uw bevindingen te mailen naar [email protected]. Versleutel uw bevindingen met onze PGP key om te voorkomen dat de informatie in verkeerde handen valt, • Het probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, verwijderen of aanpassen, • Het probleem niet met anderen te delen totdat het is opgelost en alle vertrouwelijke gegevens die zijn verkregen via de lek direct na het dichten van de lek te wissen, • Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden, • Voldoende informatie te geven om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn. Wat wij beloven: • Wij reageren binnen 3 dagen op uw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing, • Als u zich aan bovenstaande voorwaarden heeft gehouden zullen wij geen juridische stappen tegen u ondernemen betreffende de melding, • Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk, • Wij houden u op de hoogte van de voortgang. • In berichtgeving over het gemelde probleem zullen wij, indien u dit wenst, uw naam vermelden als de ontdekker, • Als dank voor uw hulp bieden wij een beloning aan voor elke melding van een ons nog onbekend beveiligingsprobleem. De grootte van de beloning bepalen wij aan de hand van de ernst van de lek en de kwaliteit van de melding met een minimum van een waardebon van €50,-. Wij streven er naar om alle problemen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.

De voorbeeldtekst hiernaast geeft u een beeld hoe een responsible disclosure-beleid eruit kan zien.

Bovenstaande tekst is geschreven door security-onderzoeker Floor Terra en is gepubliceerd onder een Creative Commons Naamsvermelding 3.0 licentie. Dit houdt in dat iedereen deze tekst vrij mag gebruiken mits de naam van de auteur wordt vermeld. Bron: http://responsibledisclosure.nl/

ICTRecht - 7

Auteur: Maaike Lassche Juridisch adviseur

(met als rechtsgrondslag artikel 114 VWEU) wil het vertrouwen in de elektronische transacties in de interne markt bevorderen. Het doel is een veilige en ongehinderde interactie tussen bedrijven, burgers en overheden mogelijk te maken en zo de effectiviteit van publieke/particuliere onlinediensten, e-business en elektronische handel in de EU te vergroten. De bestaande richtlijn (1999/93/EG) betreft alleen elektronische handtekeningen, deze wordt dan ook ingetrokken. Het domein wordt uitgebreid naar veilige, betrouwbare en gebruiksvriendelijke elektronische transacties dat elektronische identificatie, authenticatie en handtekeningen omvat. Op korte termijn volgt publicatie van de verordening in het officiële publicatieblad van de Europese Unie. Op de twintigste dag daarna zal de verordening in werking treden, zij is dan verbindend in al haar onderdelen en rechtstreeks toepasselijk in elke lidstaat.

Wet- en regelgeving Nieuwe BTW-regels voor levering van elektronische diensten aan buitenlandse consumenten Per januari 2015 gelden nieuwe btw-regels voor levering aan consumenten van telecommunicatiediensten, omroepdiensten en diensten die worden verricht langs elektronische weg. De grootste verandering is dat dienstverleners het tarief moeten gaan rekenen van het land waar de consument gevestigd is. Bron: http://bit.ly/1vMoJKy

Wetsvoorstel digitale communicatie toevoegen aan briefgeheim Het voorstel vervangt het brief-, telefoon- en telegraafgeheim in de Grondwet door het brief- en telecommunicatiegeheim. Met deze techniek onafhankelijke formulering wordt de bescherming van art. 13 Gw uitgebreid naar alle huidige en toekomstige telecommunicatiemiddelen. Beperkingen zijn slechts mogelijk in de gevallen bij de wet bepaald met een voorafgaande machtiging van de rechter. Indien de beperking in het belang van de nationale veiligheid plaatsvindt, volstaat een machtiging van een of meer bij de wet aangewezen ministers. Inmiddels is de Ministerraad akkoord, het wetsvoorstel is nu voor advies naar de Raad van State verzonden. Bron: Kamerstukken II 2013/14, 33989 nr. 3. http://bit.ly/1tl2hF1

Wetsvoorstel bestrijding cybercrime (computercriminaliteit III) Doel van deze nieuwe wetgeving is het juridisch kader voor de opsporing en vervolging van cybercrime meer toe te snijden op de door de diensten, die zijn belast met de opsporing en vervolging van computercriminaliteit gesignaleerde behoeften. Het betreft op afstand binnendringen van geautomatiseerde werken en plaatsen van software voor de opsporing van

8 - ICTRecht

ernstige vormen van cybercrime, op afstand doorzoeken van gegevens die vanuit een geautomatiseerd werk toegankelijk zijn (ongeacht de locatie van dit geautomatiseerde werk en met inachtneming van de regels omtrent internationale rechtshulp), op afstand ontoegankelijk maken van gegevens die vanuit een geautomatiseerd werk toegankelijk zijn (ongeacht de locatie van dit geautomatiseerde werk en met inachtneming van regels omtrent internationale rechtshulp). Daarnaast voorziet het wetsvoorstel in de strafbaarstelling van het helen van gegevens en de ontsleutelplicht van de verdachte. De Ministerraad is akkoord en het wetsvoorstel is naar Raad van State verzonden. Bron: http://bit.ly/1pNNcdR

Wetsvoorstel executieveilen via internet Het veilen via internet van onroerende zaken, in het bijzonder woonpanden, wordt mogelijk gemaakt, dit om een zo breed mogelijk publiek te bereiken. Daartoe worden enige bepalingen van het Wetboek van Burgerlijke Rechtsvordering aangepast (m.n. art. 514 e.v.). Voorts wordt nog een aantal BW-en Rv-bepalingen gewijzigd, onder andere teneinde onderhandse verkoop te bevorderen (hogere opbrengst) en de problematiek van de onbekende huurder te regelen (d.i. de huurder en onderhuurder met wier huur de koper van het pand eerst na de veiling geconfronteerd wordt; het verlof tot ontruiming kan thans alleen door de hypotheekhouder worden gevraagd; het huurbeding dient ook door de koper te kunnen worden ingeroepen). Bron: Kamerstukken I, 2013-2014, 33 484 nr. A. http://bit.ly/1mMzbZ0

Bron: http://bit.ly/1tohmEO

......................................................................................................advertentie................................................................................................

DE KENNISDAG OVER ICT VOOR DE JURIDISCHE PRAKTIJK

Wijziging wet bescherming persoons­ gegevens (meldplicht datalekken) Het wetsvoorstel bevat een regeling voor de meldplicht bij geconstateerde inbreuken op beveiligingsmaatregelen voor persoonsgegevens, uitbreiding van de bevoegdheid tot het opleggen van een bestuurlijke boete door het College bescherming persoonsgegevens en enige onderwerpen die voortvloeien uit de evaluatie van de Wet bescherming persoonsgegevens en het rapport van de Adviescommissie veiligheid en de persoonlijke levenssfeer. Deze maatregelen hebben tot doel de naleving van de wet te verbeteren. Het wetsvoorstel is ingediend bij de Tweede Kamer voor schriftelijke behandeling.

DINSDAG 7 OKTOBER 2014 PLEIT2014 BIEDT EEN UITGEBREID PROGRAMMA OVER DE BELANGRIJKSTE ICT ONDERWERPEN VOOR DE JURIDISCHE PRAKTIJK. U SCHERPT UW KENNIS OP HET GEBIED VAN KOSTENEFFICIËNTIE, NIEUWE WET- EN REGELGEVING, KENNISMANAGEMENT, DIGITALISEREN EN BEVEILIGING. THEMA'S DIE DE JURIST VAN NU BEZIGHOUDEN. PLEIT2014 IS KOSTELOOS TOEGANKELIJK VOOR JURISTEN.

Bron: Kamerstukken II, 2013/14, 33 662 nr. 8. http://bit.ly/YEeYzl

Voorstel voor een verordening betreffende elektronische identificatie en diensten voor elektronische transacties in de interne markt

SCHRIJF JE NU IN OP WWW.PLEIT.NL HOOFDSPONSOR:

Op 23 juli 2014 is een verordening aangenomen tijdens de Raad Algemene Zaken. De verordening

ICTRecht - 9

COLUMN Brenno de Winter

onderzoeksjournalist

De asymmetrie van beveiliging Voor veel mensen kwam het hard binnen dat er 1,2 miljard gebruikersnamen met bijbehorende wachtwoorden waren verzameld door Russische criminelen. De confrontatie met de realiteit wordt pijnlijk er als we realiseren dat hiervoor 420.000 websites zijn leeggeroofd. Laten we er even vanuit dat de cijfers en het verhaal kloppen. De omvang van het probleem wordt tastbaar als duidelijk wordt dat dus 420.000 beheerders van website op een lek worden gewezen. In 2011 heb ik meer dan 700 lekken afgewikkeld als gevolg van Lektober en dat was een ware uitputtingsslag. Maar 420.000 is gewoon te groot. Ondertussen hebben de criminelen niet veel meer gedaan dan een eenvoudig stukje software draaien om lekken te identificeren, misbruik van het lek te maken en de data in een logisch systeem te zetten. Asymmetrische strijd We hebben dus te maken met een asymmetrische strijd. Want de aanvaller kan simpel een nieuwe aanval lanceren tegen gaten in software en de verdediging dweilt dan met de

10 - ICTRecht

wetgever stelt beveiliging ‘conform de stand der techniek’ verplicht. Maar de verantwoordelijk toezichthouder is met zo’n 80 mensen zwaar onderbemensd en heeft onvoldoende bevoegdheden. De hoop is gevestigd op de ethische hackers die hopelijk de problemen aantonen voordat de Russen met onze data aan de haal gaan. Zij kunnen veel ellende voorkomen, maar lopen tegen een beleid aan dat onderzoekt stremt en niet de burger maar de bedrijven beschermt. De goedwillende hackers mogen het doen met een Openbaar Ministerie dat al bij

de introductie van het responsible disclosure-beleid meteen riep dat zij altijd kunnen overgaan tot onderzoek. U als burger bent steeds vaker verplicht persoonsgegevens achter te laten, waarbij meer en meer wordt gevraagd. Identiteitsdieven zijn daar enorm dol op. Maar de digitale wereld is weinig symmetrisch. Met dank aan eenvoudig te voorkomen lekken, een disfunctionerende toezichthouder, vleugellamme hackers kunnen criminelen ongestoord hun gang gaan. Met zo’n speelveld is het voor u onmogelijk geworden u te verdedigen.

kraan open. Om de gaten in de dijk te dichten hebben we vele tienduizenden Hans Brinkers nodig. Het eerste leger om 1,2 miljard burgers te informeren en een tweede leger om de bedrijven te smeken of ze hun website beter beveiligen zodat een nieuwe inlog niet meteen weer opnieuw wordt gestolen. Maar er is meer asymmetrie aan dit verhaal. Ondertussen kan iedereen met een beetje technische kennis deze lekken misbruiken zonder echt een kundige hacker te hoeven te zijn. In potentie nemen we het op tegen een compleet leger aan criminelen die persoonsgegevens verzamelen op industriële schaal. Zij kunnen eenvoudig lekken misbruiken die al in 1998 zijn ontdekt en waar je geautomatiseerd misbruik van kunt maken. Asymmetrie in verdediging Het voorkomen van de ellende is ook enorm lastig. Daarvoor zouden we minimaal moeten zien dat de eigenaren van websites het minimale doen om te voorkomen dat ze worden gehacked. De problemen, zoals beschreven zijn relatief simpel te voorkomen. Ook de

ICTRecht - 11

Auteur: Itte Overing Juridisch adviseur

Checklist

software op maat In 2001 is de “agile” softwareontwikkelmethode ontstaan. Een groep softwareontwikkelaars zat, zoals het de werknemers van silicon valley betaamt, samen in een skioord. Daar hebben zij een manifest opgesteld over het op een betere manier ontwikkelen van software.

De ontwikkelaars formuleerden daarbij de volgende voorkeuren: 1. ‘Individuals and interactions over processes and tools’ 2. ‘Working software over comprehensive documentation’ 3. ‘Customer collaboration over contract negotiation’ 4. ‘Responding to change over following a plan’ Ondergetekende is het eens met het feit dat lijvige documentatie (lees: een dik contract) en eindeloze onderhandelingen tussen juristen niet dé oplossing is bij het uitbesteden van de ontwikkeling van software. Interactie, flexibiliteit, samenwerken en met name werkende software als eindproduct, hebben ook mijn voorkeur. Daartegenover staat dat een opdrachtgever wel goed moet nadenken over wat hij nodig heeft voordat hij aan de outsourcing van de ontwikkeling begint. Hij moet het doel van de ontwikkeling kunnen bepalen. Tevens moet hij een risicoafweging kunnen maken en daarbij de juiste juridische aandachtspunten in

12 - ICTRecht

overweging nemen. Risico’s die de opdrachtgever niet wil of kan lopen, moeten beperkt worden middels afspraken op (digitaal) papier. Gelukkig blijken de agile-ontwikkelaars het hier ook een beetje mee eens als je het onderschrift bij hun voorkeuren leest: “That is, while there is value in the items on the right, we value the items on the left more”. Lees het hele manifest hier: http://agilemanifesto.org/

nodig heeft. Hij kan dit zelf doen of uitbesteden. De opdrachtgever moet bijvoorbeeld kiezen of hij de software in de cloud of on premises plaatst. Juridisch aandachtspunt daarbij is de verwerking van persoonsgegevens en bijbehorende beveiliging. In fase 1 moet er ook beoordeelt worden hoe bedrijfskritisch de software zal zijn. Dit zal onder andere bepalen of de opdrachtgever rechthebbende wil worden van de intellectuele rechten die rusten op de software. De opdrachtgever wil dan namelijk niet bij het faillissement van zijn ontwikkelaar geconfronteerd worden met een curator die zijn gebruiksrecht beëindigd.

Fases outsourcing software

Op het moment dat de opdrachtgever voor ogen heeft wat hij wil hebben, dan kan hij opzoek gaan naar een ontwikkelaar. Als de opdrachtgever één of meerdere softwareontwikkelaars heeft gevonden, legt hij hen al zijn wensen voor. De

leverancier kan dan een aanbod doen. Op het moment dat de opdrachtgever het aanbod ontvangt, moet hij aandacht besteden aan de volgende punten: 1. Heeft de ontwikkelaar begrepen wat hij nodig heeft? 2. Gebruikt de ontwikkelaar de door de opdrachtgever gewenste ontwikkelmethode? 3. Neemt de ontwikkelaar verantwoordelijkheid voor de kwaliteit van zijn werk? 4. Is de acceptatiemethode toereikend? Worden de cruciale kwaliteiten van de software ermee getest? 5. Heeft de ontwikkelaar voldoende capaciteit (denk aan personeel en hardware)? 6. Is de ontwikkelaar bereid het auteursrecht dat rust op de software over te dragen? 7. Zijn de kosten inzichtelijk?

8. Voldoet de tijdsplanning? 9. Wordt er een voor de opdrachtgever toereikende exit-regeling geboden? In fase 2 moeten alle afspraken worden vastgelegd die nodig zijn om de inventarisatie te realiseren en om overige fasen tot een goed einde te brengen. De afspraken moeten zo vastgelegd worden dat zeker is dat beide partijen dezelfde versie hebben en kunnen teruglezen. Bij grotere projecten is een raamovereenkomst op papier nog steeds de uitgelezen vorm. Zorg ervoor dat er een transparant en overzichtelijk document wordt opgesteld. Een stapel bijlagen met algemene voorwaarden van beide partijen is af te raden. Het is dan niet langer overzichtelijk welke regels gelden. Zet alle afspraken onder elkaar in een document. Dan hoeft er niet eerst vergeleken te worden en dan nog een rangorde worden toegepast om te weten

Staat u zo een opdrachtgever bij of bent u een opdrachtgever? Uit onze praktijk blijkt dat de outsourcing van (de ontwikkeling van) software is op te delen in zeven fasen waarbij de chronologische volgorde soms afwijkt (zie hiernaast). De invulling van elke fase kent haar juridische aandachtspunten. De aandachtspunten en de keuzes die daarbij zijn gemaakt, moeten op papier gezet worden. Hoe ver u daarbij moet gaan hangt van hoe bedrijfskritisch de software is en welke (juridische) gevolgen het gebruik kan hebben. In fase 1 wordt gebrainstormd en uiteindelijk vastgesteld wat de opdrachtgever

ICTRecht - 13

Checklist

software op maat

zelfde raamwerk gebruikt worden. Natuurlijk moet de opdrachtgever wel eerst de stappen van fase 1 doorlopen en bepalen of het raamwerk past bij de juridisch implicaties van de nieuwe software en hoe bedrijfskritisch de nieuwe software is.

welke regel er geldt. De afspraken op papier moeten ervoor zorgen dat de volgende fasen soepel verlopen. Voor fase 3 tot en met 5 is het nodig dat opdrachtgever afspraken maakt over de methode van ontwikkeling (zoals het eerder genoemde agile of bijvoorbeeld waterfall), de tijdsplanning en de vergoeding. Van belang hierbij is dat er afspraken worden gemaakt over hoe er omgegaan wordt met tegenvallers. Wordt er eerst overlegd, wordt er een formele ingebrekestelling gestuurd of moet er direct een boete worden betaald? Daarnaast moeten er afspraken gemaakt worden over hoe de resultaten gecontroleerd en uiteindelijk geaccepteerd worden. Doet de opdrachtgever dat, doet

14 - ICTRecht

de ontwikkelaar dat of toch een externe specialist? En hoe wordt er getest en op welke punten? Dit hangt bijvoorbeeld af van wat de software moet kunnen en hoeveel personen er tegelijk gebruik van moeten kunnen maken. Dan is de software af en geïmplementeerd. Nu breekt fase 6 aan, mogelijk zijn onderhoud, updates en ondersteuning nodig. Het is goed om afspraken te maken over hoe de opdrachtgever de helpdesk kan benaderen en wanneer en hoe er onderhoud wordt gepleegd. Het onderhoud moet immers zo min mogelijk ruis veroorzaken in de dagelijkse bedrijfsvoering van de opdrachtgever. Het kan ook zijn dat opdrachtgever nog wil doorontwikkelen. Hiervoor kan het-

Mocht de opdrachtgever om een of andere reden niet verder willen of kunnen gaan met de softwareontwikkelaar, dan is fase x aangebroken. Hoe de opdrachtgever hiermee omgaat dient geregeld te zijn in fase 2. Dat is met name noodzakelijk voor het geval dat de ontwikkelaar failliet gaat. Bij faillissement wordt de ontwikkelaar beschikkingsonbevoegd: hij kan software die in de boedel valt niet meer overdragen of daarover afspraken maken met de opdrachtgever. De opdrachtgever krijgt dan te maken met de curator. Deze kan de software uit de boedel verkopen als dat het meest in het voordeel is van de schuldeisers gezamenlijk. De curator hoeft daarbij geen rekening te houden met de gebruiksrechten van de opdrachtgever. Indien de opdrachtgever vooraf eigendom heeft verkregen en een continuïteitsplan heeft opgezet voor de aanvullende dienstverlening, dan hoeft hij niet in onderhandeling te treden met de curator. Als partijen om een andere reden uit elkaar gaan, dan wil de opdrachtgever mogelijk zijn data terug in een format dat migratie niet in de weg staat. Ook dit is vooraf vast te leggen. Kort samengevat: het is belangrijk dat de opdrachtgever bedenkt wat hij nodig heeft, zijn risico’s bepaalt en duidelijke afspraken maakt die deze risico’s beperken. De afspraken moeten niet onnodig ingewikkeld zijn omdat dat afleidt van het doel: een succesvolle outsourcing van de ontwikkeling van software.

Maak afspraken over de totstandkoming, duur en het einde van de overeenkomst. Beschrijf wat het eindproduct is. U kunt een beschrijving opnemen van de functionaliteit,

architectuur, capaciteit en beveiligingsmaatregelen (security by design).

Bepaal de ontwikkelmethode. Neem een tijdsplanning op en maak afspraken over het niet halen van de planning. Leg vast welk personeel beschikbaar moet zijn voor de duur van het project.

Benoem hierbij de verschillende kwaliteiten, denk aan projectmanager, architect,

ontwikkelaar.

Bepaal welke acceptatietests er gedaan worden, door wie en wat de gevolgen zijn van de

uitslag.

Maak afspraken over hoe er opgeleverd wordt, bijvoorbeeld eerst in een testomgeving en pas

na acceptatie in de productieomgeving.

Neem transparante afspraken op over de wijze van betaling en de vergoeding. Bepaal of de intellectuele rechten die rusten op de software worden overgedragen of dat er

een gebruiksrecht voor wordt verleend.

Als u het nodig acht, neem dan een afspraak op over de afgifte van de broncode en documentatie.

Maak een goede risicoafweging en neem op basis daarvan een toereikende exit- en

continuïteitsregeling op.

Maak desgewenst afspraken over het onderhoud van de software. Bepaal de verantwoordelijkheid over en weer, benoem de grootste risico’s en degene die

verantwoordelijk is voor het misgaan.

Beperk de verantwoordelijkheid indien nodig middels een aansprakelijkheidsbeperking en

een bepaling over (de uitbreiding van) overmacht.

Kies het toepasselijk recht en het competente forum. Maak afspraken over wat geldt als bewijs. ICTRecht - 15

Auteur: Steven Ras Partner

Wat speelt er bij

Interconnect?

Hostingbedrijf Interconnect bestaat al sinds 1995 en is sindsdien uitgegroeid tot een professionele ISP die colocatie, cloud (IaaS), breedband en Hosted Telecom levert. 15 jaar geleden was verkopen vrijwel synoniem met kunnen leveren (lees: de telefoon opnemen), daarna is de betrouwbaarheid in een aantal fasen een steeds grotere rol gaan spelen, gedreven door het feit dat het veelal om bedrijfskritische ICT-tsystemen gaat. Eerst is redundantie toegevoegd (cruciale delen van de infrastructuur zijn minimaal dubbel uitgevoerd. Daarna zijn daar allerlei (ISO) certificeringen aan toegevoegd, waarmee dit weer onafhankelijk getoetst wordt. Nu komt de volgende fase: hoe de dienstverlening ook zonder Interconnect gegarandeerd wordt? Aandachtspunten Nu steeds meer klanten Interconnect vragen om zo’n waarborg van de continuïteit, nam zij met ons contact op om hier stappen voor te nemen.

Stichting continuïteit De crux van de oplossing voor een continuïteitsgarantie is gelegen in het buiten de macht van de curator brengen van de assets. De bovengenoemde bedrijfsonderdelen worden daarvoor in een aparte constructie ondergebracht. Daarbij wordt gebruik gemaakt van een ‘trusted third party’ (TTP) in de vorm van een stichting of een besloten vennootschap. Hiervoor kan een nieuwe rechtspersoon – de stichting continuïteit – worden opgericht maar er kan ook gebruik gemaakt worden van reeds bestaande entiteiten zoals de holding. Doel van deze oplossing bij Interconnect is te waarborgen dat de dienstverlening nog zes maanden ongestoord blijft verlopen, zodat klanten een reële tijd hebben om een alternatieve leverancier te zoeken nadat is gebleken dat bij Interconnect geen doorstart meer haalbaar is.

16 - ICTRecht

De volgende stappen moeten worden genomen om tot een goede waarborg van de continuïteit te komen: • De intellectuele eigendomsrechten en de benodigde hardware wordt door de werkmaatschappij van de clouddienst-verlener overgedragen aan de TTP. • Het personeel en de overeenkomsten met leveranciers en klanten zullen bij de werkmaatschappij blijven. • Alle contractuele, financiële en operationele afspraken moeten vastgelegd worden zodat de betrokken partijen weten wat hun rechten en plichten zijn. Deze worden beschreven in een mantelovereenkomst waarbij in ieder geval de TTP, de werkmaatschappij en de klanten partij zijn. • Er moet een partij aangewezen worden die de diensten van Interconnect kan leveren indien een bedreiging intreedt bij het bedrijf zelf. De TTP kan zelf de continuïteit gaan leveren maar dit hoeft niet. Er zijn ook constructies mogelijk waarbij een aparte stichting de dienst levert na het intreden van een bedreiging. De TTP zal dan de benodigde assets beschikbaar moeten stellen aan die stichting. • De toeleveranciers (hoster/datacenter/softwareleverancier)

moeten hun diensten na het intreden van een bedreiging gaan leveren aan de dan actief geworden stichting. Om dit te bewerkstelligen dienen er overeenkomsten te worden gesloten met de toeleveranciers door de stichting. Deze operatie zal kosten met zich meebrengen. Het is te overwegen dit bij klanten in rekening te brengen die specifieke behoefte aan continuïteit hebben, ook om de indruk van een sterfhuisconstructie te vermijden. Daarnaast ontstaat er door bedrijfsonderdelen te onttrekken van de werkmaatschappij het risico van een ‘Actio Pauliana’, met name als de werkmaatschappij daadwerkelijk failleert. De curator heeft dan de mogelijkheid om de constructie gedeeltelijk te vernietigen. Dit risico kan onder andere verkleind worden door transparant te blijven ten aanzien van de overdrachten en reële prijzen te hanteren voor de bedrijfsmiddelen. Overleg met uw accountant is daarom ook altijd nodig voor een goede continuïteitsoplossing. Meer over een dergelijke stichting en hoe een continuïteitsgarantie te realiseren leest u in onze factsheet continuïteit in de cloud: http://bit.ly/fscontinuiteit

ICTRecht - 17

Auteur: Lisette Meij Juridisch adviseur Opleidingscoördinator

Terugblik: onze training “De nieuwe privacywet” Er is al veel om te doen geweest: de Europese Privacyverordening. Ter vervanging van de Richtlijn uit 1995 werkt de Europese Commissie aan een nieuwe wet. Hierbij is er gekozen voor een Verordening, een wet welke voor heel Europa zal gelden. Waar de huidige Richtlijn per land geïmplementeerd moest worden, zal de nieuwe Verordening in elk Europees land hetzelfde zijn.

Het gevolg hiervan is één Europese privacy­ wet, zonder afwijkende nationale regels. Wanneer de Verordening precies in zal treden is nog onduidelijk, maar door de vele onderhandelingen welke momenteel gaande zijn zal dit niet eerder dan 2015 zijn. Naar aanleiding van de naderende Verordening heeft op 27 mei jl. bij ICTRecht de training ´De nieuwe privacywet’ plaats gevonden, gegeven door Arnoud Engelfriet. Is het niet wat vroeg een training te geven voor een Verordening waarvan de ingangsdatum nog onbekend is? Ondanks dat het nog onduidelijk is wanneer de Verordening er precies komt, is het overduidelijk dat deze Verordening veel los zal maken in bedrijven en instellingen. Een goed begin is het halve werk, daarom is tijdens deze training aandacht besteed aan alle in’s en out’s van de nieuwe Verordening. Het doel van de training? Aan het einde van de dag naar huis met een dosis aan nieuwe informatie, om vervolgens aan de slag te gaan met het leggen van een basis voor een goede implementatie van de Verordening. Voor een volle zaal werd in één dag tijd de

nieuwe Verordening behandeld. Tijdens de training is er niet enkel aandacht besteed aan de belangrijkste wijzigingen welke in zullen treden, maar voornamelijk hoe deze wijzigingen toegepast kunnen worden in de praktijk. Want dat er een nieuwe Verordening aan komt dat is een, maar hoe gaat deze vorm krijgen in de praktijk is een tweede. Daarom is er gezocht naar een balans tussen informatie en praktijkvoorbeelden, waarmee duidelijke handvatten geboden worden aan de cursisten voor de komst van de Verordening. Aan de hand van uitgebreide (visuele) voorbeelden krijgen de cursisten een goede indruk van onder andere: het correct verkrijgen van ondubbelzinnige toestemming voor het verwerken van persoonsgegevens, het pseudonimiseren van data en wat privacy by design en -default nou eigenlijk is. Dit heeft veel discussie en vragen gegeven, met name waar het de regels over marketing betrof. Tijdens de training is er veel ruimte voor interactie: cursisten haken in op onderwerpen en stellen vragen over hoe zij met de nieuwe Verordening te maken zullen

krijgen. Met onderwerpen als profilering en e-mailmarketing komen veel cursisten dagelijks in aanraking. Gedurende de dag worden praktijkvoorbeelden door cursisten onderling uitgewisseld, en oplossingen worden aangedragen voor verschillende obstakels welke de Verordening met zich mee zal brengen. Een dag vol informatie wordt afgesloten met een gezellige borrel waar iedereen nog even met elkaar blijft napraten. De cursisten gaan goed voorbereid op de naderende Verordening naar huis met een dik pak aan cursusmateriaal. Dat het een geslaagde training is blijkt uit de positieve evaluaties. Met feedback als: ‘Voor het eerst zal ik cursusmateriaal gebruiken als naslagwerk’ en ‘Het was de perfecte intro die ik nodig had’, hebben wij er vertrouwen in dat de basis voor een goede implementatie van de Verordening gelegd zal worden. Kijk voor het actuele aanbod aan training­ en op pagina 34 van dit tijdschrift of kijk op onze website.

https://ictrecht.nl/trainingen ICTRecht - 19

Auteur: Niels Winters Juridisch adviseur

Bitcoins: de gevolgen van decentralisatie Is de Bitcoin een serieus te nemen munt of een duistere internethype? De laatste maanden is de waarde van de virtuele munteenheid Bitcoin na behoorlijk wat fluctuaties weer aardig gestabiliseerd. Als gevolg van de fluctueringen en de relatief hoge waarde is er veel interesse voor de munt. Ook handelaren en handelsplatformen zien hun kans om te verdienen aan deze fluctuaties. Eén van de grootste platformen was Mt. Gox, dat in 2013 70% van alle Bitcointransacties afhandelde. Inmiddels is het platform failliet als het gevolg van diefstal van de munten. Naast de groei in verhandeling van de munt bieden steeds meer online webshops en diensten de mogelijkheid om te betalen met de Bitcoins. Zo heeft Thuisbezorgd.nl in november 2013 aan­ ge­geven Bitcoins te zullen accepteren bij het betalen van de bestelling. Toch is het de vraag of de munt lang stand zal houden. De populariteit en waarde trekt de aandacht van hackers en criminelen, de autoriteiten weten nog niet wat ze met de munt aan moeten en het gebruik van de munt blijft stijgen.

Wat is een Bitcoin? De Bitcoin is een digitale munteenheid die gebaseerd is op open source software. Deze software is ontwikkeld door de verder onbekende Satoshi Nakamoto en in 2009 op de markt gebracht. Doel van Nakamoto was een digitale munt ontwikkelen die niet aan centraal toezicht onderworpen is. De software is dan ook gebaseerd op het principe van een P2P-netwerk. Er is dus geen centraal punt waar precies wordt bijgehouden wie

20 - ICTRecht

hoeveel Bitcoins heeft: saldo-informatie wordt verspreid over alle computers die de Bitcoin-software hebben geïnstalleerd. Doordat deze informatie is verspreid over verschillende computers, is het niet mogelijk om een Bitcoin meerdere malen uit te geven. Er is achteraf altijd na te gaan welke transacties er met betrekking tot een bepaalde Bitcoin zijn gedaan. Door het installeren van een programma op de computer, maakt men een eigen digitale portemonnee aan. Met de portemonnee kan de gebruiker dan betalingen doen en ontvangen. Wie de portemonnee kwijtraakt, bijvoorbeeld doordat de schijf van de computer defect raakt, is ook al zijn Bitcoins kwijt. De virtuele munt wordt verkregen door een transactie te doen of door Bitcoins te ‘delven’ (‘minen’). Kortgezegd stelt een ‘miner’ met behulp van software zijn computer beschikbaar om berekeningen uit te voeren. Het gaat voornamelijk om validatie van de transacties die zijn uitgevoerd. Wanneer de berekening juist

is uitgevoerd en klopt, zal de ‘miner’ een bedrag in Bitcoin ontvangen als beloning: zo ‘delft’ hij nieuwe Bitcoins.

Juridische status De combinatie van het virtuele en decentrale karakter brengt enkele juridische problemen met zich mee. Het gaat dan met name om de juridische status van de virtuele munt. De Wet financieel toezicht (Wft) kent drie geldmiddelen, namelijk chartaal geld, giraal geld en elektronisch geld. De Bitcoin valt onder geen van die middelen. Chartaal geld dient een fysieke vorm te hebben (1), giraal geld is een uitgifte voor ontvangen geld (2) en bij elektronisch geld dient men een vordering te hebben op de uitgever (3). Bij al deze soorten gaat het mis. De Bitcoin is enkel virtueel (1), verkrijgt men niet in ruil voor ontvangen geld maar door het minen (2) en is gezien het decentrale karakter geen vordering op de uitgever (3). Hierdoor valt de munt niet onder Wft en staat de Bitcoin niet onder het financiële toezicht. Als gevolg hiervan kan men ook

ICTRecht - 21

Masterclass ICT-contracten in de praktijk

waarde verder oplopen en daarnaast kunnen de Bitcoins ook daadwerkelijk worden uitgegeven.

geen aanspraak maken op de beschermende werking van de Wft of andere voordelen. Tot nu toe heeft de regering nog geen noodzaak gezien om de Bitcoin aan te merken als een financieel product, zodat deze onder de werking van de Wft valt. Als reden geven ze hierbij aan dat de virtuele munt nog geen noemenswaardige gevolgen heeft voor de economie. In juli 2014 heeft de European Banking Authority (EBA) een document gepubliceerd met betrekking tot het gebruik van Bitcoins door de banken. Het document is onder andere gericht aan de Europese Commissie en stelt dat het noodzakelijk is om de virtuele geldmiddelen te reguleren. Daarnaast wil de EBA dat nationale toezichthouders de banken ontmoedigen om de virtuele valuta te verhandelen, totdat er sprake is van regulering op dit gebied. Hoewel de digitale munt vele voordelen biedt, schrijft de EBA dat er nog teveel risico’s aan de digitale munten kleven. In het onderzoek heeft de EBA meer dan 70 risico’s van de munt in kaart gebracht, waaronder de kans op witwassen en andere financiële misdrijven. Op basis van het onderzoek stelt de EBA dat regulering van de virtuele valuta noodzakelijk is, voordat de banken kunnen handelen in de virtuele valuta. Het is goed dat de EBA een dergelijk signaal geeft aan de Europese Commissie en de nationale toezichthouders. Hiermee komt er hopelijk meer duidelijkheid over de status van de virtuele munteenheden. Het is namelijk niet wenselijk dat er op nationaal niveau wordt beslist over de status van de munt. Hierdoor ontstaan er mogelijk verschillen in regelgeving.

Belastingdienst Ook de Belastingdienst heeft moeite met de ‘nieuwe’ virtuele munt. Aangezien er

22 - ICTRecht

Hackers

geen sprake is van centraal toezicht en de overheid geen invloed kan uitoefenen op de transacties, kan de Belastingdienst maar moeilijk grip krijgen op de Bitcoin. Ondanks de onduidelijkheden over de juridische status, heeft de Belastingdienst gezegd dat er belasting betaald dient te worden over de inkomsten die men met de Bitcoin verkrijgt. Daarbij heeft zij dit extra duidelijk willen maken bij het invullen van de belastingaangifte over 2013. Hoewel men aangifte moet doen over de inkomsten die als Bitcoins zijn verkregen, is dit door de Belastingdienst niet gemakkelijk te controleren. De vraag is dus in hoeverre men een aanslag kan verwachten van de Belastingdienst wanneer men dit niet aangeeft.

Nauwelijks toezicht Aangezien er geen toezicht is op de munt en op de transacties daarvan, is het voor criminelen interessant om hierin te investeren. Door Bitcoins aan te kopen met geld uit eerder gepleegde misdrijven is het mogelijk om dat geld wit te wassen. Dit wordt nog eens extra versterkt doordat steeds meer dienstverleners de betaling via Bitcoins accepteren. Hierdoor kan de

De virtuele munt is volledig gebaseerd op het P2P-netwerk en de apparatuur van de gebruikers. Het is voor hackers dan ook interessant om deze apparatuur te beïnvloeden om hiermee Bitcoins te verkrijgen. Een voorbeeld is het plaatsen van malware, waardoor een deel van de rekenkracht van de computer wordt overgenomen. Met deze rekenkracht kunnen de hackers nieuwe Bitcoins minen. Maar niet alleen malware zorgt voor problemen, ook worden de Bitcoins gewoonweg gestolen uit de digitale portemonnee van verschillende gebruikers. Dit is eveneens gebeurd bij het grootste handelsplatform Mt. Gox. Hiermee zouden ze 850.000 Bitcoins verloren zijn. Dit wordt echter in twijfel getrokken, het platform wordt namelijk zelf ook beschuldigd van het verduisteren van de munten. In mei 2014 is dan ook het faillissement van Mt. Gox aangevraagd.

In uw praktijk komt u regelmatig ICTcontracten tegen. Van softwareontwikkeling tot hosting voorwaarden of app-licentie. Welke valkuilen en aandachtspunten gelden hierbij? In deze eendaagse masterclass leert u van specialisten Steven Ras en Arnoud Engelfriet hoe een ICT-contract in de praktijk uitpakt. Wat werkt, en wat kunt u eisen als inkoper of leverancier?

Ter voorbereiding op de masterclass ontvangt u een typisch ICT-contract dat als rode draad voor de dag zal dienen. Uw actieve bijdrage wordt zeer op prijs gesteld. Ervaring met ICT is gewenst. De masterclass wordt gegeven bij ICTRecht, Sarphatistraat 610-612, Amsterdam. U kunt zich inschrijven via bit.ly/ictmasterclass of per e-mail naar [email protected].

Programma 4 november 2014

De masterclass kost € 399,- excl. btw.

09:30 – 10:00 Inleiding op de casus 10:00 – 10:45 Het commerciële traject Onderhandelen | NDA | MOU | Termsheet Rol van jurist | Contractstructuur | Contractsluiting

10:45 – 11:30

Soorten software (klassiek, SaaS, cloud, app) Ontwikkeling | Agile vs Waterval Oplevering & aanvaarding | Garanties & vrijwaringen | Onderhoud | Betaling

11:30 – 11:45

Pauze

11:45 – 12:45

Software-ontwikkelcontract (2) Eigendom | Licenties van derden Aansprakelijkheid | Compliance | Duur & beëindiging | Continuïteit | Geschiloplossing

12:45 – 13:30 Lunchpauze 13:30 – 14:15

14:15- 15:15

Service Level Agreement Beschikbaarheid | Metingen | Responstijden Hersteltijden | Beveiliging | Onderhoud | Backups Rolverdelingen | Boetes

15:15 – 15:30

Arnoud Engelfriet

Steven Ras

Hosting- en cloudovereenkomsten Cloud & Hosting | Oplevering & aanvaarding Domeinnamen | Licenties van derden Data-eigendom | Aansprakelijkheid Duur & beëindiging | Opschorting | Continuïteit

Conclusie De huidige juridische status van de Bitcoin blijft tot op heden nog onduidelijk. Dit is met name het gevolg van het gebrek aan effectief toezicht door de overheid. Het probleem dat hieruit voortvloeit is dat overheden eigen plannen gaan trekken, hierdoor ontstaat er ongelijkheid tussen de verschillende landen en komt de munt niet ten goede. Het is goed dat de Euro­pean Banking Authority een duidelijk signaal heeft afgegeven aan de banken en aan de Europese Commissie. Hopelijk wordt er hierdoor duidelijkheid geschapen rondom het gebruik en de status van de munt. Het is in ieder geval duidelijk dat het toenemende gebruik van de virtuele valuta nadere regulering nodig heeft.

Software-ontwikkelcontract (1)

Pauze

15:30 – 16:30 Bewerkersovereenkomst Wbp & Privacyverordening | Doelen | Compliance Privacy by design | Aansprakelijkheid | Vrijwaringen | Vernietiging | Boetes

16:30 – 17:00 Afsluitende discussie

Over de docenten Steven Ras is oprichter en partner van ICTRecht. Hij is met genoegen afgestudeerd aan de Vrije Universiteit Amsterdam en heeft zich gespecialiseerd in ICT-contracten en onderhandelingen. Steven is redactiesecretaris van het Tijdschrift voor Internetrecht en vice-voorzitter van ISPConnect. Arnoud Engelfriet is partner bij ICTRecht. Hij is gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Met zijn informatica-achtergrond richt hij zich graag op complexe technisch/juridisch ICT-vraagstukken en softwarelicenties. Naast zijn werk bij ICTRecht is Arnoud parttime docent aan de Vrije Universiteit.

Meer informatie? bit.ly/ictmasterclass

ICTRECHT

Auteur: Arnoud Engelfriet Partner

Internetrechtspraak

moeten bewaren. Dit ter bestrijding en vervolging van ernstige misdrijven en terrorisme. Al sinds de invoering is er veel kritiek over effectiviteit en bescherming van de onschuldige burger. Hof van Justitie verwijst Richtlijn naar de prullenbak: disproportionele schending van het grondrecht privacy (art. 8 EVRM), omdat “de omvangrijke en bijzonder ernstige inmenging in de betrokken grondrechten niet voldoende ingeperkt om te garanderen dat deze inmenging daadwerkelijk tot het strikt noodzakelijke beperkt blijft.” http://curia.europa.eu, gevoegde zaken C-293/12 en C-594/12

Gerechtshof ‘s-Hertogenbosch 25 maart 2014 (Wet Van Dam) Is Wet Van Dam (Abonnementenwet) van toepassing op vóór haar inwerkingtreding gesloten overeenkomsten? Consument vecht stilzwijgende verlenging met een jaar van een energiecontract aan met beroep op deze wet, die slechts verlengingen per maand toestaat. Echter omdat de overeenkomst al vóór de inwerkingtreding van deze wet was uitgewerkt, kan de overeenkomst niet meer onder de Wet-Van Dam vallen. Dit zou anders zijn indien de overeenkomst tussen partijen nog op 1 december 2011, zijnde de datum waarop de wet in werking trad, voortduurde.

Justitie dat een dergelijke blokkade legaal is. Het bevel hoeft niet te specificeren hóe de blokkade moet worden uitgevoerd (waarmee executiegeschillen zouden kunnen worden voorkomen). Wel moet het bevel ruimte laten voor toegang tot legitieme informatie op die website (en elders op internet) en moet de blokkade effectief zijn: tot gevolg hebben dat niet-toegestane oproepingen van de beschermde werken worden verhinderd of minstens bemoeilijkt. Daarnaast moeten bezoekers van de website “ernstig worden ontraden” auteursrechtinbreuk te plegen. http://curia.europa.eu, zaaknr. C-314/12

http://bit.ly/1s6ERS4

Gerechtshof ’s-Hertogenbosch 1 april 2014 (Algemene voorwaarden op internet) Rechtbank Limburg 26 maart 2014 (Hyperlink inbreukmakend) Het plaatsen van een hyperlink naar illegale livestreams van sportwedstrijden is een inbreuk op het auteursrecht. Eerder werd in HvJEU 13 februari 2014 (Svensson) geoordeeld dat hyperlinken naar internetbronnen géén inbreuk is. Rechtbank redeneert a contrario dat dit niet geldt voor illegale bronnen, nu in Svensson alle hyperlinks naar legale bronnen wezen. €88.406,79 aan proceskostenveroordeling.

Eiser stelt dat gedaagde in de opdrachtbevestiging zich akkoord heeft verklaard met de algemene voorwaarden en dat de algemene voorwaarden zijn na te lezen op internet. Zij heeft hiermee naar het oordeel van het hof echter niet de redelijke mogelijkheid geboden als hiervoor bedoeld. Ook wordt gesteld dat partijen regelmatig zaken met elkaar hebben gedaan en dat gedaagde op die grond bekend verondersteld mag worden met de algemene voorwaarden. Echter, de voorwaarden zijn nimmer ter hand gesteld zodat hierop geen beroep kan worden gedaan.

http://bit.ly/1oQ19aO http://bit.ly/1pIhgn8

Hof van Justitie EU 27 maart 2014 (Websiteblokkade) Oostenrijkse rechtbank gelastte blokkade door internetproviders van website Kino.to waar illegaal filmaanbod te vinden was. In antwoord op prejudiciële vragen bevestigt Hof van

24 - ICTRecht

Hof van Justitie EU 8 april 2014 (Bewaarplicht verboden) De Europese Richtlijn Bewaarplicht bepaalt dat telecomproviders verkeersgegevens en andere metadata van hun klanten

Rechtbank Overijssel 9 april 2014 (Artikel in online archief) Een nieuwsartikel uit 2004 is via een online archief vindbaar, inclusief naam eiser. Eiser eist verwijdering omdat het artikel onrechtmatig zou zijn en omdat het hem nog steeds wordt nagedragen. Van onrechtmatigheid is geen sprake: voldoende basis in het destijds beschikbare feitenmateriaal. Verwijdering stuit vervolgens af op de maatschappelijke behoefte aan integere archieven. Een belangrijke secundaire functie van de pers is het beschikbaar maken van nieuws in archieven. Daarmee is een verplichting tot het verwijderen of aanpassen van een artikel, dat op zichzelf rechtmatig is, uitsluitend vanwege een negatieve lading, niet goed te verenigen. http://bit.ly/1pt1Aa9

Hof van Justitie EU 10 april 2014 (Downloadverbod) Nederland moet een downloadverbod invoeren. Althans: Nederland moet haar thuiskopie-uitzondering beperken tot het maken van kopieën uit legale bron. Sinds omstreeks 2000 worden art. 16b en 16c Auteurswet gelezen als ook geldend voor kopieën uit illegale bronnen. Hof van Justitie verklaart deze lezing onjuist, omdat de wettige belangen van de rechthebbende hiermee onredelijk worden geschaad. Hoogte van thuiskopievergoeding op lege muziek- en filmdragers mag geen rekening houden met downloads uit illegale bron. http://curia.europa.eu, zaaknr. C-435/12

Rechtbank Overijssel 14 april 2014 (Bewijsbeslag via zoekopdracht) Eiser wil bewijsbeslag leggen op digitale documenten bij gedaagde, en omschrijft in het verzoekschrift de documenten als al die documenten die voldoen aan een zoekopdracht op één of meer van een tiental trefwoorden, alsook alle e-mailberichten van of naar een vijftal personen. Rechtbank wijst dit af: het is niet de bedoeling dat men pas na doorzoeking en dus pas na kennisneming van (zoekresultaten betreffende) de inhoud van die documenten, kan aanwijzen van welke bepaalde bescheiden zij inzage, afschrift of uittreksel wil vorderen. Dit is een fishing expedition en die is niet toegestaan bij bewijsbeslag (HR 13 september 2013, LJN BZ9958). http://bit.ly/WOSVFr

Rechtbank Rotterdam 17 april 2014 (Contract via internet) Bij geschil over kinderopvangtoeslag komt vraag op of er wel rechtsgeldig gecontracteerd is, nu geen schriftelijk ondertekend document aanwezig is. Wet kinderopvang eist geen schriftelijk contract, en algemene voorwaarden van gastouderbureau vermelden dat ook online contracteren mogelijk is. Rechtbank wijst opmerkelijk genoeg op artikel 6:227a van het Burgerlijk Wetboek waarin een overeenkomst die langs elektronische weg tot stand is gekomen gelijk wordt gesteld met een schriftelijke overeenkomst. Onjuist: dit artikel bepaalt dat aan de schriftelijkheidseis bij een overeenkomst is voldaan als onder voorwaarden elektronisch is gecontracteerd. http://bit.ly/1zyUpl2

Rechtbank Overijssel 18 april 2014 (Doorlinken geen handelsnaaminbreuk) Eiser en gedaagde beschikken over vrijwel dezelfde domeinnaam; die van gedaagde heeft als enige verschil geen streepje tussen twee woorden. Eiser beroept zich op zijn handelsnaam, die gelijk is aan de domeinnaam. Echter de domeinnaam van gedaagde leidt door (“redirect”) naar een geheel andere domeinnaam. Hiermee is geen sprake van handelsnaaminbreuk. Gedaagde mag de domeinnaam houden vanwege het principe van “die het eerst komt, het eerst maalt”, er is geen reden om hiervan af te wijken. Wel weegt mee dat het

ICTRecht - 25

gaat om een zeer beschrijvende domeinnaam en handelsnaam. IEF 13963, http://tinyurl.com/pzza7uu

Rechtbank Noord-Nederland 24 april 2014 (Overtreding relatiebeding via Linkedin) Werknemer stapt over naar de concurrent en doet mededeling daarvan via Linkedin-berichtensysteem (inmail, dus geen statusupdate): “Ik ben verheugd jullie te kunnen melden dat ik per 1-6-2011 in dienst treedt bij [naam] te [plaatsnaam]. Eindelijk een werkgever die weet hoe het werkt in assurantieland. … . Ik hou jullie op de hoogte van mijn nieuwe mobiele nummer en e-mailadres.” Hiermee is het relatiebeding overtreden dat het “benaderen of bedienen” van relaties verbiedt, nu drie van de ontvangers van het bericht relaties waren. Dwangsom van €25.000 per relatie toegewezen, geen beroep op matiging gedaan. http://bit.ly/1qrIq3g

College bescherming persoonsgegevens 29 april 2014 (Cookiewet) De privacytoezichthouder oordeelt dat het online advertentiebemiddelingsbedrijf YD Display Advertising de wet overtreedt door zonder toestemming persoonsgegevens van internetgebruikers te verzamelen om hun vervolgens gepersonaliseerde advertenties te tonen. YD doet dit middels tracking cookies (net als de rest van internet), waarmee bezoekers worden herkend als steeds dezelfde persoon. Hiermee wordt een interesseprofiel opgebouwd waarmee op andere sites van klanten van YD relevante advertenties kunnen worden getoond. http://www.cbpweb.nl zaaknr. Z2012-00811 http://bit.ly/1o87QUR

Gerechtshof Den Haag 6 mei 2014 (Gaspedaal) Op Gaspedaal.nl is een metazoekmachine te vinden die onder meer zoekt in de advertentiedatabank van Autotrack.nl. Autotrack beroept zich op haar databankenrecht. Gerechts-

26 - ICTRecht

hof volgt de uitspraak van Hof Justitie 19 december 2013 (C-202/12) die dit als inbreuk op databankrecht Autotrack aanmerkt. Er is sprake van hergebruik van een databank door een dedicated metazoekmachine wanneer deze: (1) in wezen dezelfde zoekfunctionaliteit beschikbaar stelt, (2) de zoekopdrachten real-time doorgeeft naar de beschermde databank en (3) de resultaten ontdubbelt en in eigen opmaak toont. http://bit.ly/1nMKnsU

Rechtbank Den Haag 9 mei 2014 (Stemfie-verbod) Het maken van fotografische zelfportretten met zichtbaar ingevuld stembiljet (“stemfie”) is geen inbreuk op het stemgeheim. Hoewel een stemfie afgedwongen kan worden en zo bewijs van iemands stemgedrag kan worden verkregen, is daarmee de stemfie nog geen schending van het stemgeheim. Artikel J 15 van de Kieswet (“Het stemlokaal is zodanig ingericht dat het stemgeheim is gewaarborgd.”) brengt geen verbod voor de burger mee zijn ingevulde stem te fotograferen en dat te publiceren. http://bit.ly/1qN49Y9

Rechtbank Amsterdam 12 mei 2014 (Doorzoeken mailbox) Werknemer wordt op staande voet ontslagen wegens verboden nevenwerkzaamheden en overtreding van het geheimhoudingsbeding. Het bewijs blijkt verkregen door onrechtmatig zoeken in privémailbox (Gmail) van de werknemer, waar de werkgever bij kon omdat inloggegevens bewaard waren op de werkcomputer. Ook werden privéchats via WhatsApp gelezen vanaf de zakelijke telefoon. Kantonrechter verklaart dit onrechtmatig, met name omdat er geen concrete aanleiding was en omdat de werkgever de werknemer misleidde (“updates doorvoeren” op pc en telefoon) over de reden voor het snuffelen. De werkgever moet € 7500 schadevergoeding betalen voor het onrechtmatig zoeken. Het ontslag blijft in stand omdat de werknemer de verboden heeft overtreden. http://bit.ly/UD6AOo

HvJ EU 13 mei 2014 (Google vs. de privacy) De exploitant van een internetzoekmachine is verantwoordelijk voor de door hem verrichte verwerking van persoonsgegevens die worden verkregen uit door derden gepubliceerde webpagina’s. De exploitant moet dus zelfstandig een afweging maken tussen zijn belang bij publicatie daarvan en het privacybelang (“recht te worden vergeten”, maar eigenlijk het correctie- en verwijderingsrecht van de Wbp) van de betrokkene wiens persoonsgegevens worden verwerkt in de zoekresultaten. De zoekmachine – Google – moet gehoor geven aan een verwijderverzoek als deze afweging dit vereist. Bij verschijning van deze aflevering heeft Google overigens reeds meer dan 12.000 verwijderingsverzoeken ontvangen. http://curia.europa.eu/ zaaknr. C-131/12

Hof Arnhem 13 mei 2014 (Reflexwerking oneerlijke handelspraktijken) De Wet op de oneerlijke handelspraktijken is alleen van toepassing op consumenten. Het begrip consument moet gelet op de rechtspraak van het Hof van Justitie van de Europese Unie restrictief worden uitgelegd. Er geldt daarbij geen reflexwerking, omdat bij invoering van de wet is opgemerkt dat ondernemers bij dergelijke praktijken kunnen optreden op basis van de bestaande mogelijkheden in het burgerlijk recht zoals onrechtmatige daad, dwaling of bedrog. Het beroep op dwaling in deze zaak slaagt wel: de bedrijvengids Telefoongids.com had duidelijker moeten aangeven dat zij niet het officiële telefoonboek van KPN is, zeker nu ze “cold calling” hanteert. http://bit.ly/UD6DcY

Rechtbank Oost-Brabant 14 mei 2014 (Algemene voorwaarden dienstverlener) Voor ter hand stellen van algemene voorwaarden bij dienstverlening gelden andere regels sinds de Dienstenrichtlijn. Rb. Bepaalt dat aan wettelijk vereiste (gemakkelijke elektronische toegankelijkheid) is voldaan als de voorwaarden zich achter een ‘knop’ (met aanhalingstekens) bevinden op de site waarnaar de gebruiker in de schriftelijke overeenkomst heeft verwezen. De wet noch de Dienstenrichtlijn schrijven voor dat de voorwaarden toegankelijk moeten zijn voor latere ken-

nisneming en dat deze door de wederpartij moeten kunnen worden opgeslagen. http://bit.ly/1uKtTq1

Rechtbank Overijssel 14 mei 2014 (Bitcoins geen geld) Twee partijen komen overeen dat bitcoins worden verkocht. Na betaling van een geldsom (in Euro) worden niet alle bitcoins geleverd. De koper ontbindt en eist schadevergoeding. De rechtbank bepaalt dat de virtuele valuta geen geld is in de zin van art. 6:125 BW, zodat de koper geen recht heeft op compensatie van het koersverschil sinds de verkoopdatum. Tevens overweegt de rechtbank dat bitcoin ook geen elektronisch geld is, onder verwijzing naar eerdere Kamervragen. Wel moet de verkoper het te veel betaalde terugbetalen inclusief wettelijke rente. IT 1511, http://tinyurl.com/q2zus2w

Hof Arnhem 20 mei 2014 (Doorzoeking laptop na einde dienstverband) Werkgever doorzoekt een ingeleverde laptop van werknemer na beëindiging dienstverband en treft daarin bewijs wegens overtreding geheimhoudings- en relatiebedingen. Werknemer hoefde hier geen rekening mee te houden, zeker nu hij de laptop had ‘gereinigd’ alvorens deze in te leveren. Ook wanneer voor de werknemer niet kenbaar is of kan zijn dat zijn e-mailberichten kunnen worden gecontroleerd, controle van die berichten door de werkgever toelaatbaar kan worden geacht. Dan moet echter wel sprake zijn van zodanige omstandigheden, dat aan geen twijfel onderhevig is dat een gerechtvaardigd doel wordt gediend en dat is voldaan aan de proportionaliteitseis uit het EVRM. http://bit.ly/1xEt2TS

Rechtbank Noord-Holland 21 mei 2014 (Databankblokkade geen inbreuk) Gerechtsdeurwaarderskantoor werkt met online dossiers via deurwaarderwijzer.nl. Vanwege vermeend onjuist daarmee omgaan door het kantoor wordt door de dienstverlener de toegang beperkt. Het kantoor eist dan toegang op grond

ICTRecht - 27

van haar databankrecht op de dossierverzameling. De rechtbank wijst dit af: zo er al sprake is van een beschermde databank, is het handelen van de dienstverlener niet te kwalificeren als “in strijd met een normale exploitatie” daarvan. Dienstverlener zegt toe in de toekomst voorafgaand te waarschuwen als zij weer onjuist handelen zou bespeuren.

auto’s dat “0% btw” geldt. Wat betekent dit? Gemiddelde consument zal niet denken dat fiscus geen btw zal heffen. Derhalve is enige uitleg dat er een korting gelijk aan de btw wordt verleend. Hoe hoog is deze korting? De btw is 21% maar omdat de prijs inclusief btw moet worden getoond, zal de korting op 17,35% uitkomen. CVB RCC zaaknr. 2014/00105, http://bit.ly/Xjroff

IEF 13878, http://tinyurl.com/okvo7s4

Rechtbank Midden-Nederland 20 juni 2014 (Bewijzen gemeenschappelijk eigendom) Rechtbank Den Haag 28 mei 2014 (Wissen clouddata) KPN levert de dienst Online Backup waarbij gebruikers gegevens in de cloud kunnen opslaan. Een eenmanszaak neemt de dienst af, maar is na een crash ook de logingegevens kwijt. KPN maakt conform procedure dan een nieuw account maar maakt een fout bij het overzetten van de gegevens naar het nieuwe account. Beroep op exoneratie wordt afgewezen, reflexwerking nu de activiteit van het backuppen te ver weg ligt van haar kernactiviteit van fysiotherapie. Schade te begroten als aantal uren nodig voor opnieuw maken van gegevens maal een nader vast te stellen uurtarief.

Twee partijen hebben gezamenlijk gewerkt aan een softwareapplicatie voor de zorg. Eiser meent gedeeltelijk eigenaar van de auteursrechten daarop te zijn, en vordert bewijsbeslag (art. 843a en 1019a Rv) bij gedaagde. Rechtbank erkent dat de software creatief is maar vindt geen bewijs dat eiser creatieve inbreng in de ontwikkeling heeft gedaan. Veelvuldig overleg en het aandragen van potentiële klanten is niet creatief. Het beschikbaar stellen van bronmateriaal (zorgpaden) voor opname in de applicatie in dit geval ook niet, omdat dit al via internet algemeen beschikbaar is. Daarmee is er geen gemeenschappelijk eigendom en kan bewijsbeslag niet toegewezen worden.

http://bit.ly/UNxfro

http://bit.ly/1xEtXn7

Rechtbank Rotterdam 2 juni 2014 (Accountwijziging na ontslag bestuurder)

Hoge Raad 11 juli 2014 (Wanprestatierecht curator)

Een franchiseorganisatie wisselt van technologieleverancier. De oude leverancier is tevens bestuurder van de organisatie en wordt ontslagen. Een betrokkene wijzigt de logingegevens van de Dropbox- en webhostingaccounts van de organisatie. Nu hierdoor essentiële bedrijfsgegevens ontoegankelijk zijn, wordt onrechtmatig gehandeld en moeten de accounts terug op naam komen. Rechtbank bepaalt ex 3:299 BW dat de organisatie gemachtigd is zelf een en ander te regelen bij de betreffende dienstverleners.

Sinds het Nebula-arrest (HR 3 november 2006, LJN AZ8838) werd aangenomen dat de curator contractuele wanprestatie mag plegen als dit in belang van de boedel is. Hiermee zou o.m. een licentie of escrowregeling op de tocht komen te staan. In dit arrest nuanceert de HR een en ander: de curator heeft geen bevoegdheid die de wet of de overeenkomst niet toekent, zoals tot ontruiming of opeising van het gehuurde als de huurovereenkomst nog loopt. Immers dan zou het faillissement van invloed zijn op bestaande wederkerige overeenkomsten. Nebula-situatie is beperkt tot alwaar de curator moet ‘doen’. Verder mag de curator wel de onderliggende rechten vervreemden zonder dat de overeenkomst dit kan verhinderen. Zie de noot op pagina 30.

IEF 13917, http://tinyurl.com/qcpqo8h

Reclame Code Commissie 10 juni 2014 (Hoeveel korting is “0% btw”?)

http://bit.ly/1k92MQO

Rechtbank Amsterdam 21 juli 2014 (Tweedehands verkoop e-books)

Gerechtshof ’s-Hertogenbosch 29 juli 2014 (Geen punitive damages bij inbreuk)

TomKabinet.nl faciliteert verkoop van e-books welke eerder rechtmatig in EU op de markt zijn gekocht. Men hanteert een mechanisme om dubbele verkoop te voorkomen, in aansluiting op het Usedsoft-arrest (HvJ EU 3 juli 2012) waarbij wederverkoop van software legaal werd geacht onder voorwaarde dat eenmalige prijs betaald werd, licentie eeuwigdurend is en dubbele verkoop wordt voorkomen. Ebookuitgevers eisen onmiddellijke staking van de site. Hoewel Usedsoft specifiek over software ging, ziet rechtbank voldoende parallelen met ebookverkoop (met name gericht op doel van arrest, tweedehands markt is maatschappelijk wenselijk) zodat kort geding afgewezen wordt. Bodemprocedure volgt.

Gedaagde heeft foto van eiser verwerkt in een videoclip welke onder meer op Youtube te zien was. Vaak wordt in deze gevallen naast de gemiste licentievergoeding een opslag van 100 tot 300% toegewezen omdat enkel de vergoeding geen adequate straf is voor het geen toestemming vragen (Zie Sandvliet en Engelfriet, AMI 2012-5). Gerechtshof wijst er echter op dat het toekennen van “punitive damages” naar Amerikaans model geen wettelijke basis heeft. Aan de hand van zoveel mogelijk objectieve maatstaven dient te worden bezien welke vergoeding redelijk zou zijn. Hof komt via richtprijzen fotografie tot vergoeding van €3.500 voor schade en persoonlijkheidsrechten, alsook €11.461,72 proceskosten (art. 1019h Rv).

http://bit.ly/1oQ5ydJ http://bit.ly/1m0O3CE

Rechtbank Amsterdam 21 juli 2014 (Verval licentie bij wanbetaling) Na het bouwen van een website behield de ontwikkelaar zijn auteursrecht. Omdat de klant niet alle facturen betaalde, trekt de ontwikkelaar zijn licentie in. Dit mag niet, aldus rechtbank: een dergelijke voorwaarde moet expliciet zijn overeengekomen (vgl. eigendomsvoorbehoud, artikel 3:92 BW). Nu dit niet is gebeurd, is de licentie eeuwigdurend en niet-intrekbaar bij wanprestatie. http://bit.ly/1n6uacT

Rechtbank Den Haag 23 juli 2014 (Snowden-onthullingen)

Rechtbank Midden-Nederland 30 juli 2014 (Softwarekoppeling verboden) Softwarebedrijf AFAS publiceert een online huishoudboek en koppelt dit met internetbankieren van ING. Dit vereist dat gebruiker zijn ING-inloggegevens gebruikt. ING maakt hier bezwaar tegen, omdat zij (in verband met internetfraude/phishing) haar klanten niet in verwarring wil brengen: men moet alleen inloggen op ING site en nergens anders. Dit is ook verboden in de voorwaarden. Rechter verbiedt de koppeling; AFAS zet aan tot schending van deze voorwaarden en tast de veiligheid van online bankieren aan. http://bit.ly/1sOKkzY

Belangenorganisaties en enkele bekende internetpersoonlijkheden eisen staking van gebruik door AIVD van gegevens die zij van de Amerikaanse NSA verkrijgt. NSA zou dit in strijd met Europese regels vergaren en AIVD profiteert aldus via U-bocht toch van deze gegevens. Rechtbank wijst de eis af: bestrijding terrorisme en bescherming bevolking is voldoende zwaarwegend belang om privacy te mogen passeren. Bovendien gaat het om grootschalige ongerichte gegevens en niet om specifiek op een persoon gerichte informatie. Hoger beroep ingesteld. http://bit.ly/1s6H6Vz

Breinbreker voor de vrijmibo. Citroën adverteert bij nieuwe

28 - ICTRecht

ICTRecht - 29

Auteur: Itte Overing Juridisch adviseur

Berzona versus Nebula Noot bij Hoge Raad 11 juli 2014, ECLI:NL:HR:2014:1681

De waarde van een softwarelicentie bij het faillissement van de licentiegever was op grond van het Nebula-arrest nihil. Nu heeft de Hoge Raad een nieuw arrest gewezen op grond waarvan menigeen zijn of haar op het Nebula-arrest¹ gebaseerde conclusies heeft bijgesteld. De Hoge Raad heeft zich gebogen over een verzoek van de ABN AMRO BANK N.V. (hierna: de “bank”) om Berzona B.V. (hierna: “Berzona”) failliet te verklaren. Nu is het de vraag of deze bijgestelde conclusies ook gevolgen hebben voor de waarde van een softwarelicentie bij het faillissement van de licentiegever. Vanwege de door Advocaat-Generaal J.L.R.A. mr. Huydecoper in zijn conclusie getrokken parallel tussen het gebruiksrecht van een pand en het gebruiksrecht (licentie) van een intellectueel eigendomsrecht, is er niet onderuit te komen dat ook dit arrest zijn weerslag zal hebben op de licentiepraktijk. Alvorens in te gaan op de stijging of daling van de waarde, is het nodig om het nieuwe arrest af te zetten tegen het oude. Voor het toekennen van een verzoek tot faillietverklaring is onder andere een pluraliteit van schuldeisers vereist. De bank heeft naast zijn eigen vordering, een aantal steunvorderingen aangevoerd. Bij de Rechtbank betwistte Berzona met succes de steunvorderingen. Zowel het Hof als de Hoge Raad beamen dat er in casu niet of onvoldoende is gebleken van het bestaan van steunvorderingen. De aangevoerde schulden waren eventuele toekomstige onderhoudsverplichting­ en ten behoeve van onroerende zaken

30 - ICTRecht

van Berzona en het toekomstig huurgenot van de huurders van dat eigendom. Op het moment van het verzoek was er geen sprake van achterstallig onderhoud. En nee, toekomstige vorderingen kunnen niet dienen als steunvordering indien er niet met voldoende zekerheid gezegd kan worden dat zij zullen ontstaan. Nu wordt het interessant: maar hoe zit het dan met het huurgenot? Op het moment van het verzoek kwamen de huurders niets tekort qua huurgenot. Doch, als hier uitgegaan mag worden van de op basis van het eerdere Nebula-arrest getrokken conclusie, dan zou de curator de mogelijkheid hebben het huurgenot actief te beëindigen indien dit de boedel ten goede komt. Er kan dan met goed fatsoen betoogd worden dat de curator gebruik zal maken van voornoemd recht en er dus een vordering van de huurders zal ontstaan. In Nederland worden faillissementen immers - als er al geen gebrek aan baten is - in de meeste geval-

len afgewikkeld door eerst alle middelen uit de boedel te gelde te maken en daarna de inkomsten te verdelen tussen de schuldeisers. Oftewel, dan is er een grote kans dat er een vordering van de huurders inhoudende het huurgenot zal ontstaan. Over die conclusie zegt de Hoge Raad: “Het uitspreken van het faillissement heeft echter niet tot gevolg dat de curator ook (‘actief ’) een bevoegdheid of vordering toekomt die de wet of de overeenkomst niet toekent, zoals tot ontruiming of opeising van het gehuurde als de huurovereenkomst nog loopt.” Verderop voegt de Hoge Raad daaraan toe: “In het arrest van 3 november 2006 (Nebula) ligt geen ander oordeel besloten.” De gedachtegang van de Hoge Raad is gebaseerd op de volgende regel uit het insolventierecht: verbintenissen uit een voor faillissement gesloten overeenkomst, blijven onverkort van kracht na

faillissement van een van de partijen (tenzij de wet anders bepaalt). Daartegenover staat echter de regel van het “paritas creditorum”, crediteuren worden op gelijke voet behandeld. Waarbij de ene regel stelt dat verbintenissen in stand blijven, stelt de andere regel dat een schuldeiser geen aanspraak meer kan maken op verbintenissen op grond waarvan een prestatie ten koste van de boedel geleverd moet worden. In zoverre dat de schuldeiser de vordering bestaande uit een prestatie ten koste van de boedel ter verificatie moet indienen.

In het Berzona-arrest zegt de Hoge Raad dat het Nebula-arrest slechts betrekking heeft op “(…) de vraag of de curator gebonden is aan een huurovereenkomst die na het faillissement van de juridische eigenaar van de verhuurde zaak is aangegaan door de economisch eigenaar daarvan op grond van een hem daartoe door de juridische eigenaar verleende contractuele bevoegdheid. Die vraag is in dat arrest ontkennend beantwoord op de grond dat de mogelijkheid om door het aangaan van een huurovereenkomst te beschikken over zaken die behoren tot de boedel, een te vergaande inbreuk vormt op degelijkheid van schuldeisers. Deze beslissing betreft een andere kwestie dan hier aan de orde.” Wat ondergetekende en andere commentatoren van dit arrest bevreemd is dat het in beide casus gaat over het actief ingrijpen door een curator op een vóór faillissement tot stand gekomen verbintenis. In Nebula ging het om het recht van de economisch “eigenaar” om te verhuren (niet om de na faillissement gesloten huurovereenkomst) op grond van de overeenkomst waarbij het economisch eigendom geleverd/verleend werd. In het Berzona-arrest ging het om het huurgenot van de huurder op grond van een huurovereenkomst. Of er een geheel andere kwestie aan de orde is, is te betwijfelen daar beide overeenkomsten tot stand zijn gekomen voor de faillietverklaring. Mijns inziens is de conclusie van Advocaat-Generaal J.L.R.A. mr. Huydecoper2

een betere verklaring voor de andere beoordeling door de Hoge Raad: “In de door mij voorgestane opvatting is het zo, dat een curator niet verplicht kan worden om op “persoonlijke” verbintenissen berustende verplichtingen na te komen als dat ten koste van de boedel gaat(16) (vooral omdat daarvan “ongelijkheid” van crediteuren het (noodzakelijke) gevolg zou zijn); en dat dat even goed behoort te gelden voor verplichtingen die (kunnen) worden nagekomen zonder dat daar een actief geven of doen van de kant van de boedel voor vereist is. De gedachte dat de curator wel gehouden zou zijn om zulke verplichtingen te honoreren berust dus wat mij betreft op een verkeerd uitgangspunt; en sterker nog: ook wanneer daar anders over te denken zou zijn, is er aanleiding om, op dezelfde voet als in het arrest van 22 december 1989 werd gedaan, een uitzondering aan te nemen voor gevallen waarin de nakoming van de desbetreffende verplichting ten koste van de boedel gaat, daar geen adequate honorering tegenover staat, én (wezenlijke) verstoring van de “paritas creditorum” daarvan het gevolg is.” Voorlopig geldt echter de uitkomst zoals neergeschreven in het Berzona-arrest: een verbintenis bestaande uit enkel dulden, moet worden nagekomen. Actief ingrijpen op deze verbintenis mag de curator niet. Houdt dit nu ook in dat een voor faillissement verleend gebruiksrecht

voor software door de curator niet actief kan worden beëindigd (bij het faillissement van de rechthebbende van het auteursrecht dat rust op de software)? Is de waarde van de licentie gestegen? Het antwoord op de vragen lijkt “ja”. Echter, de curator heeft dan misschien niet het recht om actief wanprestatie te plegen, hij heeft wel het recht om het auteursrecht dat rust op de software te vervreemden voor zover het auteursrecht in de boedel valt. De door de failliet voor faillissement aangegane persoonlijke verbintenissen gaan niet over op de koper3,4. De plicht tot het verlenen van het gebruiksrecht zoals verleend door de failliet aan de gebruiker van de software, gaat dus niet over op de koper. Als auteursrechten buiten de boedel vallen heeft de curator het recht om te vervreemden uiteraard niet. Dit is van belang daar, als de failliet ook maker is van het auteursrechtelijk beschermde werk, het auteursrecht dan (nu nog) buiten de boedel valt. Dit is op te maken uit artikel 21 aanhef en onder 1° van de Faillissementswet juncto artikel 2 lid 3 van de Auteurswet. Deze escape heeft zijn waarde nog niet bewezen voor de rechter en is mogelijk geen lang leven beschoren vanwege een op handen zijnde wetswijziging van de Auteurswet. Toch, als we het hebben over de waarde van een licentie bij faillissement van de licentiegever, zeker het noemen waard.

Bronnen  Hoge Raad 3 november 2006, ECLI:NL:PHR:2006:AX8838 (Nebula).

1 2 

Hoge Raad 3 november 2006, ECLI:NL:PHR:2006:AX8838, r.o. 25. (concl. A-G J.L.R.A. Huydecoper).

3





Kluwer 2013, par. 7060. 4



B. Wessels, Vereffening van de boedel, Insolventierecht Deel VII, Deventer:



M.P. van Sint Truiden, F.M.J. Verstijlen, Tekst en commentaar Insolventierecht, Deventer: Kluwer 2012.

ICTRecht - 31

Auteur: Steven Ras Partner

Tweedehands verkoop van softwarelicenties Tweedehands verkopen van softwarelicenties, het kan. Hoewel lang werd gedacht dat software­ licenties persoonsgebonden en dus niet overdraagbaar waren, heeft het Europese Hof van Justitie in een baanbrekend arrest echter bepaald dat dit wel degelijk mag. Na verkoop van software zijn de rechten van de leverancier ‘uitgeput’ zodat verdere verhandeling toegestaan is. Wel zullen koper en verkoper aan een aantal specifieke voorwaarden moeten voldoen. Softwarelicenties Software is geen fysiek product dat wordt verkocht zoals auto’s of computers. Software is intellectueel eigendom en beschermd door het auteursrecht. De rechthebbende op een stuk software verleent anderen toestemming deze te gebruiken: de licentie. De inhoud en scope van een licentie is ter vrije keuze, maar in de praktijk wordt vaak gewerkt met een paar standaardvormen. Een bekend voorbeeld is de EULA of End User License Agreement: een licentie die gebruik voor interne doeleinden toestaat, maar geen wederverkoop. Een ander voorbeeld is de OEM licentie, onder welke men software bij een computer mag bundelen en gezamenlijk verkopen. Veel licenties voor standaardsoftware bepalen dat men na betaling van een eenmalig bedrag de software in principe eeuwigdurend mag gebruiken. In haar arrest C-128/11 bepaalde de hoogste Europese rechter, het Europese Hof van Justitie, dat dergelijke licenties een ‘verkoop’ van de software opleveren. Dit houdt in dat men

32 - ICTRecht

deze licenties mag doorverkopen aan derden: tweedehands licenties zijn legaal.

Eisen aan tweedehands licenties Om voor verkoop in aanmerking te komen, moet een licentie aan een aantal eisen voldoen: • Europese licentie. De licentie moet voor gebruik in de Europese Unie zijn afgegeven. Auteursrechtelijke ‘uitputting’ geldt alleen binnen de EU. • Eenmalige vergoeding. Wanneer men periodiek moet betalen, bijvoorbeeld een maandelijks abonnement, kan geen sprake zijn van uitputting. Licenties voor software “in de cloud” zijn dus hierom niet door te verkopen. • Economische waarde. De vergoeding moet in overeenstemming zijn met de “economische waarde” van de software. Het bedrag moet rechtvaardigen dat de licentie mag worden doorverkocht. • Geen splitsing. De licentie moet in zijn geheel worden verkocht. Als een licentie bijvoorbeeld een gebruiksrecht

voor een Officepakket bevat, mag niet slechts de licentie voor de tekstverwerker worden doorverkocht. Van een licentie die voor 50 gebruikers ineens geldt, kunnen niet 10 rechten worden doorverkocht. Die licentie is voor 50 gebruikers en dat kan alleen als geheel worden doorverkocht. Het is alles of niets. Let op dat uitsluitend de softwarelicentie kan worden doorverkocht. Eventuele onderhoudscontracten of andere toezeggingen van de leverancier vallen hier niet onder. De koper van de tweedehands licenties zal zelf op zoek moeten gaan naar ondersteuning. De leverancier is overigens gerechtigd ondersteuning te weigeren aan tweedehands kopers, tenzij de leverancier een economische machtspositie heeft op de markt voor dergelijke software.

formulering is dit niet bindend als aan de hierboven genoemde eisen is voldaan, aldus het Hof. Het is niet de bedoeling dat het wettelijk recht van uitputting wordt geblokkeerd door creatieve contractuele bepalingen. Of een rechthebbende als voorwaarde voor onderhoud en ondersteuning mag verlangen dat alle licenties direct van hem gekocht zijn, is een juridisch open vraag.

Bewijs van overdracht Het is natuurlijk mogelijk om een softwarelicentie over te dragen maar een kopie van de software te behouden. Zo kunnen zowel koper als verkoper tegelijk de software gebruiken. Het Hof van Justitie heeft hier een stokje voor gestoken. De verkoper van de licenties moet kunnen bewijzen dat de licenties werkelijk zijn verwijderd. Bovendien mag de auteursrechthebbende op de software een audit uitvoeren bij de verkoper om na te gaan of de licenties werkelijk zijn verdwenen. Wie licenties tweedehands wil inkopen, doet er dan ook goed aan een harde garantie te vragen van de verkoper dat de

originele verkrijger van de licenties deze buiten gebruik heeft gesteld. Bij voorkeur wordt deze garantie gekoppeld aan een vrijwaring: start de rechthebbende een rechtszaak met verbod en/of schadeclaim, dan dient de verkoper deze over te nemen en een en ander bij de koper te vergoeden.

In de praktijk De handel in tweedehands licenties is relatief nieuw. Tot aan het arrest van het Europese Hof in 2012 was de status van tweedehands licenties onduidelijk. Vandaar dat deze handel lange tijd in een ietwat grijs daglicht heeft gestaan. Maar het Hof is duidelijk: tweedehands verkoop van licenties mag, mits aan de vier hierboven genoemde eisen is voldaan. Nog steeds zijn er enkele open vragen. Sommige software moet bijvoorbeeld opnieuw worden geactiveerd als deze op een nieuwe computer wordt geïnstalleerd. De originele leverancier moet dan soms worden ingeschakeld om een heractivatie uit te voeren. En sommige licenties, met name in de consumentenmarkt, vereisen een activatiecode die slechts eenmalig wordt verstrekt door de

leverancier. Naar de strekking van het arrest behoren leveranciers medewerking te verlenen bij een legale tweedehands verkregen licentie. In de praktijk blijkt dit geen problemen op te leveren. Resumerend is het verstandig om voordat u een licentie tweedehands koopt na te gaan welke extra stappen nodig zullen zijn om deze in gebruik te nemen. Vraag u met name af: 1. Word ik gevrijwaard als koper van gebruikte licenties? Controleer de door de leverancier geleverde documenten op deze vrijwaring. 2. Hoe is de medewerking van de leverancier geregeld? In geval van een dispuut met de rechthebbende, wat is dan de rol van de leverancier. Zorg dat dit duidelijk is en informeer in dat geval welke medewerking de leverancier biedt. 3. Is de verkoper betrouwbaar? Ga na of er duidelijke garanties en vrijwaringen zijn, vraag om eventuele referenties, controleer zijn kvk nummer zodat u zeker weet een goede partij te pakken te hebben.

Contractuele bepalingen Een auteursrechthebbende kan natuurlijk in zijn licentiecontracten opnemen dat doorverkoop niet geldig is. Ongeacht

ICTRecht - 33

Auteur: Lisette Meij Juridisch adviseur Opleidingscoördinator

Trainingsprogramma

De training vindt plaats bij ICTRecht in Amsterdam. Tijdens de trainingsdag is er ruim voldoende gelegenheid om vragen te stellen en uw eigen cases te bespreken. Ook tijdens pauzes en de afsluitende borrel staan wij u graag te woord. Wilt u meer informatie over onze trainingen of u aanmelden? ictrecht.nl/trainingen

Voor algemeen publiek De Nieuwe Consumentenwet 11 september 2014

Wat betekent de nieuwe Wet koop op afstand voor uw webwinkel? Tijdens de training praten wij u bij over de ins- en outs van deze nieuwe wet en de gevolgen ervan voor uw praktijk. Duur: dag | Kosten: € 249,- excl. BTW

ICT-Startupdag 24 september 2014

Ben je startend ICT-ondernemer, webdesigner of gamesontwikkelaar? Tijdens de gratis ICT-Startupdag informeren we je een middag lang over de juridische risico’s en moge­ lijkheden. Duur: middag | Kosten: gratis

De nieuwe privacywet 23 oktober 2014

De nieuwe Europese wetgeving is nóg strenger dan de wetten die we nu hebben. Opslaan of gebruiken van persoonlijke gegevens wordt lastiger. Wat mag er nog wel? En wat moet er nu? Duur: dag | Kosten: € 249,- excl. BTW

Juridische aspecten van games & apps 28 oktober 2014

Verkoop of ontwikkel je games- of apps? Tijdens de training Juridische aspecten van games en apps informeren we je over de juridische risico’s en mogelijkheden. Duur: dag | Kosten: € 249,- excl. BTW

34 - ICTRecht

ICTRecht verzorgt een scala aan juridische trainingen, zowel voor de advocatuur als voor het algemeen (technische) publiek. Onze docenten zijn gespecialiseerd in zowel de juridische als de technische kant van de verschillende niches van het ICT- en internetrecht.

Security en continuïteit in de cloud 18 november 2014

De focus ligt bij deze training op clouddiensten en de manier waarop deze diensten kunnen professionaliseren. Vanuit onze praktijk zoomen we in op de twee onderwerpen die hierbij de hoofdrol spelen: continuïteit en security. Deze interactieve training is gericht op de praktijk van de ICT-professional. Duur: dag | Kosten: € 249,- excl. BTW

Voor advocaten en (bedrijfs)juristen De Wet voor Webwinkels, 6 PO 14 oktober 2014

Wat betekent de nieuwe Wet koop op afstand voor webwinkels? Tijdens de training praten wij u bij over de ins- en outs van de nieuwe wet en de gevolgen ervan voor de praktijk. Duur: dag | Kosten: € 399,- excl. BTW

Masterclass ICTcontracten in de praktijk, 6 PO 4 november 2014

Aan de hand van ICT-contracten uit de praktijk bespreken we de belangrijkste valkuilen en aandachtspunten voor uw praktijk. Van NDA tot cloudcontract, softwarelicentie en inkoopvoorwaarden. Wat werkt, en wat kunt u eisen als inkoper of leverancier? Ervaring met ICT is gewenst. Duur: dag | Kosten: € 399,- excl. BTW

ICT vs arbeidsrecht, 6 PO 8 december 2014

ICT op de werkvloer is onmisbaar maar roept nieuwe juridische vragen op. Mag u werknemers monitoren? Welke privacyrechten gelden bij cameratoezicht? Wie mag in de mailbox van een zieke collega? En wat kunt u doen bij gescheld op collega’s op Facebook? Duur: dag | Kosten: € 399,- excl. BTW

Actualiteiten ICT & Recht, 6 PO 9 december 2014

Relevante rechtspraak, wetgeving en andere juridische ontwikkelingen van het afgelopen half jaar, in duidelijke taal becommentarieerd door de experts van ICTRecht. Duur: dag | Kosten: € 399,- excl. BTW

De privacyverordening in de praktijk, 6 PO 11 december 2014

De nieuwe Europese Privacyverordening bevat strenge regels over privacy en persoonsgegevens. Hou verhoudt dit zich tot de huidige wetgeving en wat betekent dit voor de praktijk? Zie terugblik (pagina 19) Duur: dag | Kosten: € 399,- excl. BTW

Open source licenties, 6 PO 12 december 2014

Relevante rechtspraak, wetgeving en andere juridische ontwikkelingen van het afgelopen half jaar, in duidelijke taal becommentarieerd door de experts van ICTRecht. Duur: dag | Kosten: € 399,- excl. BTW

ICTRecht is door de Nederlandse Orde van Advocaten erkend als opleidingsinstelling. Dat geeft ons de bevoegdheid om opleidingspunten (PO) toe te kennen, die advocaten in het belang van het onderhoud van hun vakbekwaamheid dienen te behalen.

Webinars

In één uur wordt u bijgepraat over een onderwerp naar keuze. U hebt enkel een computer met internetverbinding en de mogelijkheid Flash-video’s te bekijken nodig.

Voor algemeen publiek

Voor advocaten en (bedrijfs)juristen

Modereren en aansprakelijkheid

Privacy 2.0: De aankomende privacyverordening (1 PO)

30 okt

5 nov

Notice and takedown

Sociale media juridisch bekeken (1 PO)

4 nov

16 sep, 13 nov

Open source software

Impact van het nieuwe consumentenrecht (1 PO)

11 nov

24 sep, 25 nov

Softwarebescherming

Softwarebescherming (1 PO)

11 sep, 12 nov

27 sep, 28 okt

Merken en domeinnamen

Uitingsvrijheid (1 PO)

23 sep, 20 nov

1 okt

De privacywet nader bekeken

ICT versus arbeidsrecht (1 PO)

30 sep, 27 nov

2 okt

Auteursrecht op het internet

Exploiteren van software-innovaties (1 PO)

7 okt

16 okt

Cameratoezicht

Voor octrooigemachtigden

8 okt

Cloud, security en continuiteit 9 okt

Computercriminaliteit 14 okt

ICT monitoring op het werk 15 okt

Nieuwe wetgeving voor webwinkels 21 okt

Innovatiebescherming

Claimen van software-uitvindingen (O) 6 nov

Exploiteren van software-innovaties (O) 17 sep, 18 nov

NDA’s en geheimhouding (O) 18 sep, 19 nov

Softwarebescherming (O) 25 sep, 26 nov

Inleiding softwareoctrooien (O) 29 okt

22 okt

Merkenrecht 23 okt

ICTRecht - 35

ICTRECHT

Sarphatistraat 610-612 | 1018 AV Amsterdam | +31 (0) 20 66 31 941 | ictrecht.nl

36 - ICTRecht