IT-REcht in vogelvlucht

IT-REcht in vogelvlucht

IT-REcht in vogelvlucht Quick reference voor IT-auditors juni 2005

Grafische vormgeving: Bert Arts BNO

NOREA de beroepsorganisatie van IT-auditors Bezoekadres A.J. Ernststraat 55 1083 GR Amsterdam Postadres Postbus 7984 1008 AD Amsterdam [email protected] www.norea.nl tel +31 (0)20 3010380 fax +31 (0)20 3010302 Deze uitgave is ontwikkeld in samenwerking met: Duthler Associates IT recht adviseurs Prins Mauritslaan 44 2582 LS Den Haag www.duthler.nl tel +31 (0)70 3922209 fax +31 (0)70 3922276 © 2005 Duthler Associates ISBN: 90 13 02836 5 Uitgegeven door: Uitgeverij Kluwer Deventer – 2005 www.kluwer.nl Deze uitgave wordt uitgegeven onder de Creative Commons licentie Naamsvermelding-GeenAfgeleideWerken-NietCommercieel 2.0 Nederland (http://creativecommons.org/licenses/by-nc-nd/2.0/nl/deed.nl). De volledige tekst van deze licentie is te vinden op http://creativecommons.org/licenses/by-nc-nd/2.0/nl/legalcode.

VOORWOORD

Voor u ligt de uitgave IT-recht. Deze uitgave is bedoeld voor de IT-auditor die te maken krijgt met de weten regelgeving op IT-gebied. De uitgave kan worden gebruikt om informatie te vergaren of als naslagwerk, dan wel als bron voor verdere verwijzingen over een bepaald onderwerp. Met deze uitgave wordt beoogd de IT-auditor verder wegwijs te maken in de wereld van het IT-recht, zodat hij deze kennis kan inzetten ten behoeve van zijn oordeelsvorming en in de dienstverlening naar zijn cliënt. Uiteraard is het niet mogelijk in deze uitgave van beperkte omvang het IT-recht uitputtend te behandelen. Gepoogd is de kern van de materie voor de geïnteresseerde IT-auditor weer te geven en bronnen op te nemen die verwijzen naar verdere relevante informatie. Het bestuur van NOREA hoopt hiermee haar leden van dienst te zijn. Deze uitgave is samengesteld door Duthler Associates. Aan deze uitgave hebben meegewerkt: mr. dr. A.W. Duthler (eindredactie) mr. F.H. Koppejan (redactie, privacy, intellectuele eigendom, elektronische handtekeningen, bewaring) mr. E. van Geest (telecommunicatie, computercriminaliteit) mr. P.H.M. van Waas (vorderen gegevens) ir. C.P.I. de Winne (informatiebeveiliging) mr. W. Diephuis (elektronische handel) mr. E.M. van der Meij (aanbestedingen, elektronische overheid) Dank gaat uit naar eenieder die betrokken is bij het totstandkomen van deze uitgave. Het bestuur van NOREA.

V

INHOUDSOPGAVE

Voorwoord / V Inhoudsopgave / VII 1

Inleiding / 1

2

Aanbesteding / 3

3

Computercriminaliteit / 9

4

Elektronische handel / 15

5

Elektronische overheid / 21

6

Elektronische handtekening / 27

7

Intellectuele eigendom / 33

8

Privacy / 39

9

Telecommunicatie / 45

10

Vorderen gegevens / 51

11

Informatiebeveiliging / 57

12

Bewaring / 63

Ter afsluiting / 69

VII

HOOFDSTUK 1

Inleiding

1.1

Initiatief en doel van de uitgave

Deze uitgave is ontwikkeld op initiatief van NOREA, de beroepsorganisatie van gekwalificeerde IT-auditors in Nederland. RE, in NOREA staat voor Register EDPauditors. EDP is de afkorting van Electronic Data Processing, een aanduiding die in de jaren zestig en zeventig van de vorige eeuw werd gehanteerd voor het tegenwoordige begrip Informatietechnologie (IT). Deze uitgave is samengesteld door het toonaangevende adviesbureau op het gebied van het IT-recht, te weten Duthler Associates. Het doel van deze uitgave is het informeren van IT-auditors over de meest relevante aspecten van het IT-recht, waarmee zij in hun dagelijkse praktijk te maken kunnen krijgen. IT-auditors krijgen hiermee de beschikking over een hulpmiddel om relevante risico’s tijdig te herkennen, wat ten goede zal komen aan zijn oordeelsvorming en dienstverlening aan zijn cliënt. 1.2

Afbakening

Het IT-recht, het recht met betrekking tot het gebruik van informatietechnologie, is een breed gebied. IT wordt hier in ruime zin gebruikt: ook de communicatietechnologie valt hier onder. In deze uitgave worden de belangrijkste juridische aspecten kort besproken en wordt een overzicht gegeven van de belangrijkste weten regelgeving. Wet- en regelgeving buiten de Europese Unie valt buiten het bereik van deze uitgave. Ook rechtspraak wordt niet uitgebreid behandeld. De uitgave vooronderstelt geen kennis op (IT-)auditing of ander vakgebied. 1.3

Leeswijzer

De verschillende IT-rechtelijke onderwerpen zijn alfabetisch gerangschikt. De onderwerpen informatiebeveiliging en bewaring zijn als verzameling van informatie uit andere onderwerpen in aparte hoofdstukken achteraan geplaatst. Aan het einde van elk hoofdstuk zijn verwijzingen naar relevante weten regelgeving, achtergrondinformatie en enkele aandachtspunten voor managers en IT-auditors opgenomen.

1

HOOFDSTUK 2

Aanbesteding

2.1

Toelichting

Aanbesteden Aanbesteden heeft betrekking op het inkopen van producten of diensten door de overheid en kan worden omschreven als het uitnodigen tot het doen van een aanbod voor de uitvoering van een overheidsopdracht.1 Er is alleen sprake van aanbesteden als het initiatief tot de opdracht van de koper uitgaat. De regelgeving rond het aanbesteden is grotendeels afkomstig uit Europa. Het aanbestedingsrecht onderscheidt vier Europese richtlijnen, te weten de Richtlijn Werken, Diensten, Leveringen en Nutssectoren. Op nationaal niveau zijn deze richtlijnen geïmplementeerd in een raamwet en verschillende besluiten. De vier Europese richtlijnen zijn inmiddels vervangen door twee nieuwe Europese richtlijnen die nog op nationaal niveau dienen te worden geïmplementeerd. Aanbestedende dienst en drempelbedragen De opdrachtgever wordt in het aanbestedingsrecht aanbestedende dienst genoemd. Onder een aanbestedende dienst wordt verstaan de staat, zijn territoriale lichamen, publiekrechtelijke instellingen en verenigingen gevormd door een of meer van deze lichamen of instellingen.2 Een aanbestedende dienst is verplicht een opdracht aan te besteden indien deze opdracht een bepaalde drempelwaarde overschrijdt. Indien een opdracht onder deze grens blijft is zij eveneens verplicht de algemene aanbestedingsbeginselen in acht te nemen. De drempelwaarden staan omschreven in de verschillende Europese richtlijnen. Ze worden elke twee jaar opnieuw vastgesteld door de Europese Commissie. De belangrijke aanbestedingsbeginselen De doelstelling van het aanbestedingsrecht is het bieden van gelijke kansen aan elke aanbieder voor het verkrijgen van opdrachten. Om deze doelstelling te bereiken worden in het aanbestedingsrecht drie belangrijke beginselen gehanteerd, te weten het transparantiebeginsel, het beginsel van objectiviteit en het beginsel van non-discriminatie. Deze beginselen zullen hieronder kort worden toegelicht.

1. 2.

E.H. Pijnacker Hordijk en G.W. van der Bend, Aanbestedingsrecht, handboek van het Europese en het Nederlandse Aanbestedingsrecht, Den Haag: Sdu Uitgevers 1999. Zie art. 1 onder b Richtlijn Leveringen.

3

Aanbesteding

– Transparantie Het transparantiebeginsel houdt in dat een aanbestedingsprocedure helder, kenbaar en eenduidig moet zijn. Het beginsel brengt met zich mee dat duidelijkheid wordt verschaft omtrent welke stappen er in een aanbesteding worden doorlopen.3 Het beginsel vindt haar doorwerking in de gehele aanbestedingsprocedure. – Objectiviteit Het beginsel van objectiviteit houdt in dat er objectieve criteria gehanteerd dienen te worden om de inschrijvers op een aanbesteding te selecteren en opdrachten te gunnen. Iedere inschrijving dient op een eenduidige manier te worden beoordeeld op basis van de objectieve selectie- en gunningscriteria. – Non-discriminatie Het beginsel van non-discriminatie houdt in dat alle potentiële aanbieders gelijk moeten worden behandeld. De opdrachten die een aanbestedende dienst aanbiedt dienen op objectieve wijze te worden omschreven. Zo mag er bijvoorbeeld niet worden verwezen naar een bepaald merk. Aanbestedingsprocedures In het aanbestedingsrecht zijn verschillende procedures mogelijk om een opdracht aan te besteden. Te onderscheiden zijn de openbare procedure, de niet-openbare procedure, de onderhandelingsprocedure met of zonder voorafgaande bekendmaking en de prijsvraag. Hieronder zullen de verschillende procedures kort worden toegelicht. De openbare procedure De openbare procedure biedt alle belangstellenden de mogelijkheid om zich rechtstreeks in te schrijven op een opdracht. Op basis van de inschrijvingen wordt door de aanbestedende dienst besloten wie de opdracht krijgt. Het toekennen van een opdracht door een aanbestedende dienst wordt gunning genoemd. De niet-openbare procedure De niet-openbare procedure verschilt van de openbare procedure, doordat deze in twee fasen plaatsvindt. In de eerste fase kan iedere geïnteresseerde zich aanmelden. Uit deze geïnteresseerden wordt een selectie gemaakt. Alleen de aanbieders die zijn geselecteerd krijgen de gelegenheid een offerte uit te brengen. De onderhandelingsprocedure met voorafgaande bekendmaking Deze procedure is slechts in uitzonderlijke situaties van toepassing. Een voorbeeld van een dergelijke situatie is een onaanvaardbare inschrijving. Er is onder meer sprake van onaanvaardbare inschrijving indien offertes van inschrijvers niet aan de vereiste voorwaarden voldoen. De aanbestedende dienst heeft, wanneer deze pro-

3.

4

P. Tazelaar, J.P. Papenhuijzen, Professioneel Europees aanbesteden, een praktische leidraad voor de aanbesteder, Alphen aan den Rijn: Kluwer 2003.

Aanbesteding

cedure wordt gehanteerd, de vrijheid om met inschrijvers te onderhandelen, voordat besloten wordt wie de opdracht krijgt. De onderhandelingsprocedure zonder voorafgaande bekendmaking Ook deze procedure is slechts in een bepaald aantal gevallen van toepassing. Zo kan de procedure worden gehanteerd indien tijdens de openbare en niet-openbare procedure geen of geen passende inschrijvingen zijn gedaan. De aanbestedende dienst overlegt in deze procedure met één of meerdere door hem zelf gekozen partijen en stelt door middel van onderhandelingen de contractuele voorwaarden vast. Een verschil met de onderhandelingsprocedure met voorafgaande bekendmaking is, dat de aanbesteding niet algemeen bekend hoeft te worden gemaakt. Prijsvraag Ten slotte bestaat er een specifieke procedure voor het uitschrijven van prijsvragen voor ontwerpen. Deze procedure is van toepassing op prijsvragen voor plannen of ontwerpen op het gebied van onder andere ruimtelijke ordening, stadsplanning of op het gebied van automatische gegevensverwerking. De procedure kan zowel openbaar als niet-openbaar plaatsvinden. Selectiecriteria Selectiecriteria zijn criteria aan de hand waarvan de aanbestedende dienst een kwalitatieve selectie maakt van de gegadigden en inschrijvers. Het zijn eisen die gesteld worden aan de (potentiële) opdrachtnemer en niet aan de offerte. Selectiecriteria kunnen worden onderscheiden in uitsluitingscriteria en geschiktheidscriteria. Voorbeelden van uitsluitingscriteria zijn staat van faillissement, vereffening, surseance van betaling of soortgelijke toestand van de gegadigde. De geschiktheidscriteria kunnen worden onderscheiden in criteria ten behoeve van de beroepsbekwaamheid, zoals inschrijving in het beroepsregister of handelsregister, criteria die betrekking hebben op de financiële en economische draagkracht, zoals bankverklaringen en balansen en criteria die zien op de technische bekwaamheid, de ervaringseis en de beschikbaarheid van personeel en materiaal. Selectiecriteria dienen objectief te zijn, alsmede voor alle gegadigden gelijk van aard. Ze bieden de aanbestedende dienst inzicht in de betrouwbaarheid, kwaliteit en draagkracht van de gegadigden. Gunningscriteria Zoals eerder aangegeven wordt het uiteindelijk toekennen van een opdracht gunning genoemd. Gunningscriteria zijn de criteria aan de hand waarvan de aanbestedende dienst een opdracht aan een aanbieder, hierna inschrijver genoemd, gunt. Het aanbestedingsrecht onderscheidt slechts twee gunningscriteria, te weten de ‘laagste prijs’ en de ‘economisch voordeligste aanbieding’. Het gunningscriterium ‘laagste prijs’ wordt meestal gehanteerd bij eenvoudige opdrachten, zoals de aankoop van standaardartikelen als printpapier. Doorslaggevend voor de toekenning van de opdracht is in beginsel de laagste aanbieding die de aanbestedende dienst ontvangt.

5

Aanbesteding

Het criterium ‘economisch voordeligste aanbieding’ is geschikt voor meer complexe opdrachten, waarbij naast de prijs ook andere criteria een rol spelen. Zo zal bijvoorbeeld de kwaliteit, de technische waarde of de gebruikskosten van het product als uitgangspunt kunnen dienen bij de beoordeling van de ‘economisch voordeligste aanbieding’. Weging van de criteria Het is toegestaan bij de selectie van de gegadigden gebruik te maken van objectieve wegingsfactoren. Zo wordt aan bepaalde belangrijke kwalitatieve aspecten een wegingsfactor toegekend. Het wegingssysteem dient vooraf aan de gegadigden bekend te worden gemaakt.4 Op deze manier wordt aanbieders de mogelijkheid geboden rekening te houden met de rangorde die aan de criteria is toegekend. Een voorbeeld van een wegingssysteem is een cijfermatige waardering, te weten een puntensysteem. Een voorwaarde voor een wegingssysteem is dat het systeem achteraf objectief toetsbaar dient te zijn. In de gunningsfase kan eveneens gebruik worden gemaakt van een wegingssysteem, indien ‘de economisch voordeligste aanbieding’ het gunningscriterium is. De inschrijvers dienen ook hier vooraf in kennis te worden gesteld van het wegingssysteem. Indien er geen rangorde is opgenomen worden de criteria als gelijkwaardig beschouwd. Motiveringsbeginsel Om te kunnen controleren of de aanbestedingsregels door een aanbestedende dienst juist zijn toegepast dient een gegadigde of inschrijver, wanneer deze de opdracht niet heeft gekregen, op verzoek de redenen van een afwijzing te verkrijgen. Dit wordt het motiveringsbeginsel genoemd. Het motiveringsbeginsel stelt voor de aanbestedende dienst een termijn van vijftien dagen om te reageren op een dergelijk schriftelijk verzoek. Daarnaast dient aan elke inschrijver die een geldige inschrijving heeft gedaan te worden meegedeeld wat de kenmerken en relatieve voordelen zijn van de gekozen aanbieding, en tevens de naam van de gekozen partij.5 Geen verplichting tot gunning Binnen het aanbestedingsrecht bestaat er geen verplichting om aan één van de partijen die meedingen naar een opdracht, deze toe te kennen. De aanbestedende dienst kan een aanbestedingsprocedure op elk moment stopzetten, indien zij de redenen hiervan aan alle partijen meedeelt. Nu het inschrijven op een aanbesteding en het opstellen van een offerte kosten met zich meebrengen, zullen inschrijvers en gegadigden hier niet verheugd op reageren. Een aanbestedende dienst is in een dergelijke situatie niet verplicht om schadevergoeding te betalen. Indien daarentegen de indruk is gewekt dat een overeenkomst tot stand zou komen door het doen van

4. 5.

6

In het kader van de transparantie. Zie art. 7 Richtlijn Leveringen.

Aanbesteding

toezeggingen, bestaat er wel een mogelijkheid om voor schadevergoeding in aanmerking te komen.6 Ontwikkelingen in het aanbestedingsrecht Tot slot wordt erop gewezen dat de vier Europese aanbestedingsrichtlijnen recentelijk zijn vervangen door twee nieuwe richtlijnen. De aparte richtlijnen voor werken, diensten en leveringen zijn samengevoegd tot één richtlijn. Voor nutssectoren is een aparte richtlijn ontworpen. Op dit moment zijn de nieuwe richtlijnen nog niet geïmplementeerd in de nationale regelgeving. Enkele belangrijke wijzigingen in de nieuwe richtlijnen zijn een extra aanbestedingsprocedure, te weten de ‘concurrentie gerichte dialoog’ die de aanbestedende dienst de mogelijkheid biedt een dialoog aan te gaan met de potentiële gegadigden over alle aspecten van de opdracht. Daarnaast wordt de mogelijkheid geboden een volledige elektronische aanbestedingsprocedure te realiseren. Volledig elektronisch wil zeggen dat de aanbestedende dienst alle communicatie langs de elektronische weg kan laten plaatsvinden. Het doel van elektronisch aanbesteden is het realiseren van een efficiëntere aanbestedingsprocedure. 2.2

Wet- en regelgeving

Nederland • Wet van 31 maart 1993, Stb. 212, tot uitvoering van EEG-maatregelen inzake het plaatsen van opdrachten voor de levering van producten, de uitvoering van werken en de verrichting van diensten. (Raamwet EEG-voorschriften aanbestedingen) • Besluit van 4 juni 1993, Stb. 305; gecodificeerde tekst gepubliceerd in Stb. 1997, 436; nadien gewijzigd bij Besluit van 27 augustus 1998, Stb. 542. (Besluit overheidsaanbestedingen) • Besluit van 6 april 2003, Stb. 214; gecodificeerde tekst gepubliceerd in Stb. 1997, 437; nadien gewijzigd bij Besluit van 17 december 1998, Stb. 743. (Besluit aanbesteding Nutssectoren) Europa • De Europese richtlijn voor overheidsopdrachten: Werken (93/37/EEG) waarin opgenomen Richtlijn 97/52/EG • De Europese richtlijn voor overheidsopdrachten: Diensten (92/50/EEG) waarin opgenomen Richtlijn 97/52/EG • De Europese richtlijn voor overheidsopdrachten: Leveringen (93/36/EEG) waarin opgenomen Richtlijn 97/52/EG • De Europese richtlijn voor overheidsopdrachten: Nutssector (93/38/EEG) waarin opgenomen Richtlijn 98/4/EG • Richtlijn 2004/18/EG van het Europees Parlement en de Raad betreffende de coör-

6.

M.L.E. Liem & I.A.H. Dolmans-Budé, Praktisch Europees Aanbesteden, Den Haag: DELWEL 1998, blz. 160.

7

Aanbesteding

dinatie van de procedures voor het plaatsen van overheidsopdrachten voor werken, leveringen en diensten • Richtlijn 2004/17/EG van het Europees Parlement en de Raad houdende coördinatie van de procedures voor het plaatsen van opdrachten in de sectoren wateren energievoorziening, vervoer en postdiensten 2.3

Relevante achtergrondinformatie

• Handleiding Open Standaarden en Open Source Software in aanbestedingen, ICTU/ Programma OSOSS, 4 oktober 2004. • S. Corvers, F.A.M. van der Klaauw-Koops en W.G.Ph.E. Wedekind , Overheidsaanbestedingen in de IT: van onderhandelingsmodel naar aanbestedingsmodel, Alphen aan den Rijn: Samson 1995. • E.H. Pijnacker Hordijk en G.W. van der Bend, Aanbestedingsrecht, handboek van het Europese en het Nederlandse Aanbestedingsrecht, Den Haag: Sdu Uitgevers 1999. • P. Tazelaar, J.P. Papenhuijzen, Professioneel Europees aanbesteden, een praktische leidraad voor de aanbesteder, Alphen aan den Rijn: Kluwer 2003. 2.4

Aandachtspunten voor management

• Het toepassen van de Europese aanbestedingsrichtlijnen, dan wel het toepassen van de Europese aanbestedingsbeginselen. 2.5

Aandachtspunten voor de IT-auditor

• Een wegingssysteem dient achteraf objectief toetsbaar te zijn • Motiveringsbeginsel • Non-discriminatiebeginsel

8

HOOFDSTUK 3

Computercriminaliteit

3.1

Toelichting

In hoofdlijnen kunnen twee vormen van computercriminaliteit worden onderscheiden. De eerste vorm is de zogenaamde internetgerelateerde computercriminaliteit of computercriminaliteit in enge zin. Bekende vormen van deze vorm van computercriminaliteit zijn bijvoorbeeld: hacken, Trojans, Denial of Service (d)DoS aanvallen, defacements, spam en het verspreiden van virussen en wormen. Kenmerkend voor deze vormen van computercriminaliteit is dat het strafbare feit wordt verricht met de verschillende informatie- en communicatietechnieken, dan wel de criminaliteit is gericht tegen de informatie- en communicatietechnieken.

Hacken: (ook wel cracken genoemd) het zich op een ongeautoriseerde wijze toegang verschaffen tot een computer en/of computernetwerk. Virus: een programmeringcode die zichzelf kan vermenigvuldigen in bestanden. Worm: een programmeringcode die zichzelf kan vermenigvuldigen en zich in het geheugen van de computer nestelt. Trojans: kunnen gezien hun functionaliteit worden onderscheiden in Trojans die ongewenst gegevens verzamelen, zoals keyloggers en spyware. Daarnaast zijn er Trojans die ongewenst toegang verlenen tot een systeem, zoals een rootkit en bots. Een Trojan wacht vaak op een speciale gebeurtenis totdat het wordt geactiveerd. Een Trojaans paard kan lang onopgemerkt blijven. Defacen: het zonder toestemming veranderen of vernielen van een website dan wel het doorgeleiden van internetverkeer naar een andere website (spoofing). (d)DoS aanvallen: zijn aanvallen op een systeem of service met als doel een systeem, service of netwerk zo te belasten dat deze uitgeschakeld wordt of niet meer beschikbaar is. Aanvallen hebben het doel om netwerksystemen of services plat te leggen. Spam: is het verzenden van ongewenste, vaak overdadige, mail naar duizenden gebruikers tegelijkertijd, veelal via een niet goed geconfigureerde mailserver (open relay). Spoofing: is het wijzigingen van instellingen van bijvoorbeeld e-mail, een DNSserver of een IP adres waardoor het lijkt of de e-mail of de website vertrouwd is.

De tweede vorm van computercriminaliteit is de zogenaamde inhoudgerelateerde computercriminaliteit, ook wel computercriminaliteit in ruime zin genoemd. Voor-

9


beelden van deze inhoudgerelateerde incidenten zijn het verspreiden van kinderporno of discriminerende leuzen via het internet, diefstal van persoonsgegevens of drugshandel via het internet. Bij deze laatste vorm van computercriminaliteit worden de ‘traditionele’ vormen van criminaliteit gepleegd met behulp van de informatie- en communicatietechnologie. Kenmerkend voor beide vormen van computercriminaliteit is het grensoverschrijdende karakter van de gedragingen. Vanwege het internationale karakter van computercriminaliteit wordt meestal gesproken over cybercrime. Op basis van de Wet Computercriminaliteit I is een aantal specifieke vormen van internetgerelateerde computercriminaliteit in het Wetboek van Strafrecht strafbaar gesteld.7 In dit artikel wordt deze vorm van computercriminaliteit behandeld. Met name deze internetgerelateerde vormen van computercriminaliteit kunnen namelijk het bedrijfsproces van de organisatie platleggen en de organisatie aanzienlijke schade berokkenen. De Wet Computercriminaliteit I Op hoofdlijnen onderscheidt de Wet Computercriminaliteit een drietal kenmerken voor de strafbaarheid van internetgerelateerde vormen van computercriminaliteit:8 I. Er wordt binnengedrongen in een informatie- en/of computersysteem; of II. Er wordt stoornis in een informatie – en/of computersysteem veroorzaakt; of III. Gegevens worden veranderd, onbruikbaar gemaakt of vernield. I In het geval zonder toestemming van de eigenaar wordt binnengedrongen in een informatie- en/of computersysteem wordt gesproken van hacken. De Wet Computercriminaliteit I noemt een aantal voorbeelden voor het zich op ongeautoriseerde wijze verschaffen van de toegang, zoals: het doorbreken van enige vorm van beveiliging, door een technische ingreep en door het aannemen van een valse hoedanigheid. II Het versturen van spam en (d) DoS aanvallen zijn voorbeelden die onder de tweede categorie vallen. Beide vormen van computercriminaliteit kunnen stoornis in een informatie- en/of computersysteem veroorzaken, dan wel kan het systeem worden uitgeschakeld of lamgelegd. Bij spam gaat het om het versturen van ongevraagde email in grote hoeveelheden. De stoornis die door spam wordt veroorzaakt kan bijvoorbeeld op de (tussenliggende) mailservers optreden doordat deze onevenredig veel netwerkverkeer moeten verwerken. (d)DoS aanvallen zijn veelal gerichte aanvallen op een systeem of service met als doel het desbetreffende systeem, service of netwerk zo te belasten dat een dusdanige stoornis wordt veroorzaakt dat deze voor zijn oorspronkelijke doel wordt uitgeschakeld of niet meer beschikbaar is. Voor een (d)DoS aanval worden veelal zogenaamde botnets opgezet. Een bot is een programma

7. 8.

10

Stb. 1993, 33. Om te bepalen of een bepaalde vorm van computercriminaliteit ook daadwerkelijk strafbaar is, zal te allen tijde moeten worden voldaan aan alle eisen en voorwaarden voor strafbaarheid die de wet aan de specifieke verschijningsvorm stelt.


dat bijvoorbeeld zelfstandig kwaadaardige handelingen op een computersysteem kan uitvoeren. Bots worden bijvoorbeeld op ongeautoriseerde wijze geplaatst op verschillende computersystemen. Hierdoor ontstaat een botnetwerk dat wordt gebruikt om een (d)DoS aanval uit te voeren. III Virussen, wormen, Trojans en defacement van een website vallen bijvoorbeeld onder de derde categorie. Het gevolg van deze vormen van computercriminaliteit is dat gegevens worden vernield, veranderd of onbruikbaar worden gemaakt.

Wetsvoorstel Wet Computercriminaliteit II Op het moment van schrijven van dit artikel ligt het wetsvoorstel Wet Computercriminaliteit II voor advies bij de Raad van State.9 Dit wetsvoorstel strekt onder meer tot implementatie van het Cybercrimeverdrag.10 Het wetsvoorstel Wet Computercriminaliteit II zal een aantal wijzigingen met zich meebrengen ten opzichte van de huidige strafbaarstelling van internetgerelateerde vormen van computercriminaliteit. Zoals het er nu naar uitziet zullen de belangrijkste wijzigingen zijn dat de strafmaat voor het hacken van een computersysteem wordt verhoogd van een half jaar naar één jaar. Er wordt een nieuw artikel voorgesteld op grond waarvan het versturen van spam of een (d)DoS aanval eerder kunnen worden gekwalificeerd als strafbaar. Voor de strafbaarheid van spam of een (d)DoS aanval moet wel ernstige hinder zijn veroorzaakt. In het wetsvoorstel wordt tevens een aantal bepalingen opgenomen op basis waarvan voorbereidingshandelingen specifiek strafbaar worden gesteld. Een voorbeeld van een voorbereidende handeling is het aanbrengen van bepaalde scripts op een website waardoor bijvoorbeeld een Trojan op de computer van een bezoeker kan worden geplaatst.

Verwevenheid van technieken Hierboven is op hoofdlijnen aangegeven of een bepaalde vorm van internetgerelateerde vormen van computercriminaliteit ook strafbaar is. De verschillende vormen van computercriminaliteit staan echter veelal niet op zichzelf. Vaak is een combinatie van technieken noodzakelijk om een bepaalde vorm van internetgerelateerde computercriminaliteit te kunnen realiseren. Voordat een kwaadwillende een website kan vernielen of het internetverkeer naar een andere website kan doorgeleiden (defacement), zal bijvoorbeeld altijd eerst moeten zijn binnengedrongen in het computersysteem (hacken). Ook voor het uitvoeren van een (d)DoS aanval worden meerdere technieken gebruikt. Voor het plaatsen van een bot moet bijvoorbeeld worden binnengedrongen op een computersysteem.

9.

10.

Het wetsvoorstel Wet Computercriminaliteit II wordt pas openbaar als het advies van de Raad van State wordt aangeboden aan de Tweede Kamer. De verwachting is dat het wetsvoorstel in het eerste kwartaal van 2005 openbaar wordt gemaakt. Trb. 2002, 18.

11


De verschillende vormen van internetgerelateerde computercriminaliteit worden ook steeds vaker ingezet voor de ‘traditionele’ vormen van criminaliteit. Voorbeelden van groeiende ‘traditionele’ vormen van criminaliteit met behulp van internetgerelateerde vormen van computercriminaliteit zijn de ‘phising scams’ en ‘Nigerian scams’. Bij deze vormen van fraude wordt persoonlijke informatie, zoals creditcard-, bankrekening- en sofi-nummers van mensen ontfutseld ten behoeve van financieel gewin. Voor phising is het bijvoorbeeld nodig om de gekopieerde website op een webserver waarop is binnengedrongen, op een server te plaatsen (hacken). Het verspreiden van de phising scams gebeurt veelal door middel van spam (open relay), waarbij het afzendadres van de e-mail veelal is vervalst, om de e-mail legitiem te laten lijken (spoofing). Bewustwording en beveiliging Iedere organisatie die gebruikmaakt van digitale informatie- en communicatietechnieken loopt het risico om het doelwit te worden van computercriminaliteit. De sleutelwoorden om te voorkomen dat een organisatie slachtoffer wordt van computercriminaliteit zijn bewustwording en beveiliging. Bewustwording houdt in dat men weet wat onder computercriminaliteit wordt verstaan, alsmede dat ter voorkoming hiervan adequate beveiligingsmaatregelen worden genomen. Naast de bewustwording en het nemen van adequate beveiligingsmaatregelen is het van belang dat een organisatie beleid heeft opgesteld voor het geval de organisatie slachtoffer wordt van computercriminaliteit. Dit beleid zal bijvoorbeeld inzichtelijk moeten maken: • Wie binnen de organisatie welke taken en bevoegdheden heeft in relatie tot het herstel van het incident; • Waarom de desbetreffende vorm van computercriminaliteit zich heeft kunnen voordoen; • Of de organisatie overgaat tot het doen van aangifte; • Op welke wijze kan worden voorkomen dat de organisatie opnieuw slachtoffer wordt van (een bepaalde vorm van) computercriminaliteit. Gedragscode internet en e-mail verkeer De verschillende vormen van computercriminaliteit kunnen (bewust of onbewust) worden veroorzaakt door het computergebruik van eigen medewerkers. Bij bedrijfsspionage of voor puur eigen gewin kan een medewerker zich bijvoorbeeld toegang verschaffen tot afgeschermde informatie. Ook is het goed mogelijk dat door het onbewust openen van toegezonden e-mails van vrienden of het bezoeken van bepaalde websites, een ‘backdoor’ wordt geactiveerd waardoor een virus zich gemakkelijk kan verspreiden. Ook het bezoeken van pornosites en het deelnemen aan chatsessies of nieuwsgroepen kunnen grote beveiligingsrisico’s met zich meebrengen voor een organisatie. Om beveiligingsrisico’s die aan dit gedrag kleven te beheersen, kunnen werkgevers – naast het nemen van technische beveiligingsmaatregelen – ook gemakkelijk overgaan tot het systematisch monitoren van het gebruik van de bedrijfsnetwerken door de werknemers en de gegevens hierover vast te leggen. Het zonder medeweten van de medewerkers verwerken van persoonsgegevens is ech-

12


ter op grond van de Wet bescherming persoonsgegevens (Wbp) niet toegestaan. In het geval een werkgever wenst over te gaan tot het monitoren van zijn bedrijfsnetwerk, met bijvoorbeeld als doel het beperken van de beveiligingsrisico’s, zal hij op grond van de Wbp zijn medewerkers moeten informeren over: • Het toegestane internet en e-mailgebruik, alsmede het feit dat dit internet en email van de (desbetreffende) medewerker(s) door de werkgever wordt gecontroleerd; • Het doel van deze gegevensverwerking; • De consequenties van het niet-naleven van de afspraken omtrent het toegestane internet en e-mailgebruik; • Wanneer en welke maatregelen worden getroffen in het geval afspraken over het internet en e-mailgebruik niet worden nageleefd. De toezichthouder op de naleving van de privacy weten regelgeving – het College Bescherming persoonsgegevens – adviseert deze informatie op te nemen in een ‘Gedragscode Internet en e-mailgebruik’. 3.2

Wet- en regelgeving

Nederland • Wet Computercriminaliteit I (Wetboek van Strafrecht) • Wetsvoorstel Wet Computercriminaliteit II (zodra beschikbaar) Internationaal • Cybercrime Verdrag 3.3


• Bestrijding van cybercrime en de noodzaak van internationale regulering, H.W.K. Kaspersen, Justitiële verkenningen, jaargang 30, nr. 8 2004. • ‘Handleiding Cyber Crime’, van herkenning tot aangifte, GOVCERT augustus 2003. • Informatietechniek en Strafrecht – Rapport van de Commissie Computercriminaliteit, Staatsuitgeverij, 1987. • ‘Goed werken in netwerken, Regels voor controle op e-mail en internetgebruik van werknemers’ (www.cbpweb.nl). 3.4


• Beveiligingsmaatregelen • Beleid omgang met ICT- gerelateerde beveiligingsincidenten • Gedragscode internet en e-mailgebruik

13


3.5 • • • •

14


Beveiligingsmaatregelen Beleid omgang met ICT-gerelateerde beveiligingsincidenten Gedragscode internet- en e-mailgebruik Mogelijkheid bewijsmateriaal te bewaren

HOOFDSTUK 4

Elektronische handel

4.1

Toelichting

Door informatie- en communicatietechnologie (ICT) kunnen producten en diensten worden aangeboden en contracten worden afgesloten langs digitale weg. In het normale maatschappelijke verkeer zal het meestal geen problemen opleveren om te bepalen of degene met wie een contract wordt afgesloten inderdaad degene is wie hij/zij zegt te zijn. Er is immers direct contact. Deze zekerheid valt weg op het moment dat langs elektronische weg overeenkomsten worden gesloten. De Wet elektronische handel Om partijen toch zekerheid te bieden is in de Wet elektronische handel een aantal regels opgenomen voor het rechtsgeldig sluiten van een overeenkomst langs elektronische weg.11 De regels gelden voor alle diensten van de informatiemaatschappij.

• Onder dienst van de informatiemaatschappij wordt verstaan elke dienst die gewoonlijk tegen vergoeding, langs elektronische weg, op afstand en op individueel verzoek van de afnemer van de dienst wordt verricht zonder dat partijen gelijktijdig op dezelfde plaats aanwezig zijn. Een dienst wordt langs elektronische weg verricht indien deze geheel per draad, per radio, of door middel van optische of andere elektromagnetische middelen wordt verzonden, doorgeleid en ontvangen met behulp van elektronische apparatuur voor de verwerking, met inbegrip van digitale compressie, en de opslag van gegevens.12

In het vervolg zal in deze bijdrage ook gesproken worden over de (on line) verkoper of dienstenaanbieder. Gedoeld wordt telkens op degene die een dienst van de informatiemaatschappij zoals omschreven verricht. Niet alle regels zijn van toepassing op alle sectoren. Zo gelden voor financiële dienstverlening aparte regels.

11. 12.

Aanpassingswet richtlijn inzake elektronische handel, Stb. 2004, 210. Art. 3:15d lid 3 BW.

15


Wanneer is een overeenkomst langs elektronische weg rechtsgeldig? De wet bepaalt dat een overeenkomst die langs elektronische weg is gesloten rechtsgeldig is wanneer: • de overeenkomst voor beide partijen te raadplegen is; • de authenticiteit van de overeenkomst in voldoende mate gewaarborgd is; • het moment van totstandkoming van de overeenkomst met voldoende zekerheid kan worden vastgesteld. De wet bepaalt niet hoe aan deze normen kan worden voldaan. Bepaalde overeenkomsten kunnen niet langs elektronische weg tot stand komen, zoals overeenkomsten met betrekking tot onroerende zaken of contracten waarvoor de tussenkomst van bijvoorbeeld een rechter of notaris nodig is (zoals bij familierecht of erfrecht). Om een rechtsgeldige overeenkomst te kunnen afsluiten moet de verkoper verder ten minste op een duidelijke, ondubbelzinnige en begrijpelijke manier informatie verstrekken over: • de wijze waarop de overeenkomst tot stand zal komen, zodat de wederpartij deze voorwaarden kan opslaan en eventueel later kan raadplegen; • hoe de digitale overeenkomst wordt opgeslagen en te raadplegen is; • hoe de wederpartij handelingen die hij niet wil kan signaleren en herstellen; • de taal waarin de overeenkomst is opgesteld; • welke gedragscodes van toepassing zijn op de overeenkomst. Deze eisen gelden niet voor overeenkomsten die uitsluitend door middel van de uitwisseling van e-mailpost tot stand zijn gekomen.13 Wanneer door de verkoper niet aan de eisen is voldaan dan is de overeenkomst vernietigbaar of kan deze worden ontbonden.14 De overeenkomst langs elektronische weg Een afnemer kan via elektronische weg op een aanbod of een uitnodiging daartoe van de aanbieder reageren. Indien de verklaring kan worden gezien als een aanvaarding van het aanbod of een uitnodiging om te onderhandelen, moet de verkoper zo spoedig mogelijk elektronisch de ontvangst bevestigen. Eerder komt de overeenkomst niet tot stand. Niet bevestigen geldt als een verwerping. Er wordt vanuit gegaan dat een verklaring en een ontvangstbevestiging zijn ontvangen wanneer deze toegankelijk zijn voor alle partijen aan wie zij zijn gericht. Ook hier geldt dat deze eisen niet gelden in het geval waarin individueel contact via e-mail heeft plaatsgevonden.15

13. 14. 15.

16

Of een soortgelijke vorm van individuele communicatie. Art. 6:227 lid 3 BW. Afhankelijk van welke eis niet is voldaan. Of een soortgelijke vorm van individuele communicatie.


Informatieplicht aanbieder dienst van de informatiemaatschappij Voor aanbieders van diensten van de informatiemaatschappij geldt een informatieplicht om meer transparantie te bieden over de dienstverlener zelf en hun activiteiten.16 Bepaalde gegevens moeten gemakkelijk, rechtstreeks en permanent toegankelijk zijn:17 • • • • • •

de identiteit en het adres van vestiging; gegevens voor snel contact met de aanbieder, inclusief e-mailadres; voor zover ingeschreven in een handelsregister: register, inschrijvingsnummer; indien een vergunning is vereist: gegevens over de bevoegde toezichthouder; indien van toepassing: btw-identificatienummer; voorzover een gereglementeerd beroep wordt uitgeoefend: – de beroepsvereniging of -organisatie waarbij hij is ingeschreven; – de beroepstitel en de lidstaat waar die is toegekend; – een verwijzing naar de beroepsregels en de wijze van toegang daartoe.

Daarnaast dienen de prijzen van diensten, inclusief verzenden leveringskosten, duidelijk en ondubbelzinnig te worden vermeld. Elektronisch factureren Door de richtlijn facturering behoort elektronisch factureren vanaf 1 januari 2004 tot de mogelijkheden. Authenticiteit, herkomst en integriteit van de factuur zal gewaarborgd moeten zijn, en partijen moeten de mogelijkheid geaccepteerd hebben. Aan de opslag van de facturen zijn geen nadere eisen gesteld, zolang inzage maar mogelijk is wanneer de Belastingdienst daar om vraagt.18 Elektronische handel en elektronische reclame Via elektronische weg kan ook reclame gemaakt worden, bijvoorbeeld via e-mail aan (grote) groepen potentiële klanten. Als dit ongevraagd gebeurt, wordt dit ook wel spam genoemd. Dienstenaanbieders die reclame maken, moeten een aantal voorwaarden in acht nemen. Een commerciële e-mail dient: • direct bij de ontvangst ervan duidelijk als zodanig herkenbaar te zijn; • de naam van de afzender moet duidelijk herkenbaar zijn; • voorwaarden van aanbiedingen die worden gedaan moeten duidelijk herkenbaar zijn. Een overtreding van deze vereisten is strafbaar gesteld als economisch delict. Daar-

16. 17. 18.

Kamerstukken II 2001/02, 28 197, nr. 3 MvT, blz. 37. Art. 15d lid 1 BW. Richtlijn nr. 2001/115/EG van de Raad van de Europese Unie van 20 december 2001 tot wijziging van richtlijn nr. 77/388/EEG met het oog op de vereenvoudiging, modernisering en harmonisering van de ter zake van de facturering geldende voorwaarden op het gebied van de belasting over de toegevoegde waarde, PbEG 2002, L 15.

17


naast mag commerciële (bulk) e-mail niet worden verzonden zonder voorafgaande uitdrukkelijke toestemming van de ontvanger.19 Dienstverlening aan consumenten Wanneer overeenkomsten op afstand worden gesloten met consumenten, gelden bijzondere rechten voor een consument.20 In algemene voorwaarden mag de verkoper de consument geen afstand laten doen van deze rechten. Deze rechten gelden niet op alle punten voor financiële diensten.21 Informatieverstrekking aan de consument In de eerste plaats moet de dienstverlener, tijdig voordat de koop op afstand wordt gesloten, op duidelijke en begrijpelijke wijze een aantal gegevens verstrekken aan de consument: • • • • • •

identiteit van de verkoper (dienstverlener); adres van de verkoper (indien vooruitbetaling gevraagd wordt); belangrijkste kenmerken van het product (zaak); prijs, incl. belastingen en eventuele leveringskosten; de wijze waarop een overeenkomst wordt uitgevoerd en hoe kan worden betaald; termijn voor aanvaarding van het aanbod, dan wel de betalingstermijn.

De commerciële intentie van de dienstverlener moet duidelijk blijken. De dienstverlener moet ook aangeven hoe de consument van zijn herroepingsrecht gebruik kan maken en waar deze klachten kan indienen. Garantie en eventuele ‘nazorg’ voor de overeenkomst moet voor de consument eveneens kenbaar zijn. Indien de duur van de overeenkomst onbepaald is of langer dan een jaar doorloopt, moet de consument ook gemeld worden hoe de overeenkomst kan worden ontbonden. De consument dient op tijd een bevestiging (per e-mail) te krijgen van het feit dat hij een overeenkomst is aangegaan, uiterlijk bij aflevering van een product. Herroeping van de overeenkomst door de consument Consumenten hebben in geval zij een koop op afstand sluiten een herroepingsrecht van zeven dagen. Dit betekent dat de consument de overeenkomst zonder reden ongedaan kan maken. Het herroepingsrecht geldt niet als een product afhankelijk is van schommelingen in de financiële markt, buiten de invloed van de verkoper. Ook kan de consument niet herroepen als er bijvoorbeeld sprake is van maatwerk of van goederen of diensten die door hun aard niet kunnen worden teruggezonden omdat zij kunnen bederven (zoals groente en fruit). Ook kranten en tijdschriften kunnen niet worden teruggestuurd. Voor de consument zijn aan een herroeping geen kosten verbonden. Eventuele bijkomende kosten om het product terug te sturen, kunnen wel in rekening worden gebracht. In het geval de consument reeds heeft betaald, dan dient de leverancier binnen 30 dagen het bedrag terug te betalen.

19. 20. 21.

18

Telecommunicatiewet, Stb. 2004, 189. Zie ook hoofdstuk 9. Zie de Wet koop op afstand. Voor financiële dienstverlening geldt de Wet koop op afstand financiële dienstverlening.


Nakoming van de overeenkomst door de verkoper en betaling door de consument De verkoper moet binnen 30 dagen nadat een bestelling door de consument is gedaan, de bestelling afleveren. Indien een product niet op voorraad is, dan moet de consument zo spoedig mogelijk daarvan op de hoogte gebracht worden. Indien de consument reeds heeft betaald, dient de verkoper het bedrag binnen 30 dagen terug te storten. Als dat vooraf duidelijk is afgesproken kan de leverancier een ander product of een andere dienst van gelijke kwaliteit en prijs leveren als het bestelde product niet voorradig is. Wel is het zo dat voor de consument in dat geval wederom de termijn van zeven dagen voor herroeping geldt. Aansprakelijkheid van tussenpersonen Door dienstenaanbieders en wederpartijen wordt gebruikgemaakt van tussenpersonen, die de communicatiemiddelen verzorgen. In de wet is bepaald onder welke omstandigheden tussenpersonen aansprakelijk kunnen zijn voor het doorgeven22, opslaan23 of tijdelijk opslaan van (onrechtmatige of illegale) informatie.24 Een dienstverlener die informatie slechts doorgeeft ( in jargon ‘mere conduit’ genoemd) is niet aansprakelijk voor het doorgeven van informatie indien hij:25 • niet het initiatief tot het doorgeven van informatie neemt; • niet degene is die bepaalt aan wie de informatie wordt doorgegeven; en • hij de doorgegeven informatie niet heeft geselecteerd of gewijzigd. Een dienstverlener die de opslag van informatie (‘hosting’) aanbiedt wordt gevrijwaard van aansprakelijkheid, indien hij: • geen weet heeft dat de van een ander afkomstige informatie onrechtmatig is; • weet of redelijkerwijs behoort te weten dat onrechtmatige informatie aanwezig is, direct de informatie verwijdert of de toegang daartoe onmogelijk maakt. Een dienstverlener die informatie tijdelijk opslaat is niet aansprakelijk indien hij: • de informatie niet wijzigt; • de toegangsvoorwaarden voor de informatie in acht neemt; • gebruikelijke (branche)regels betreffende de bijwerking van de informatie naleeft; • het alom erkende en in de bedrijfstak gangbare rechtmatige gebruik van technologie voor het verkrijgen van informatie over het gebruik van de informatie, niet wijzigt; • tijdelijk opgeslagen informatie direct verwijdert, wanneer hij er kennis van heeft

22. 23. 24. 25.

Waaronder ook het verschaffen van toegang tot een netwerk wordt begrepen. In het jargon ‘mere conduit’. In het jargon ‘hosting’. Om de latere doorgifte daarvan aan anderen die daarom verzoeken doeltreffender te maken. In het jargon ‘caching’. Art. 6:196c BW.

19


gekregen dat de informatie op de plaats van oorsprong werd verwijderd of de toegang daartoe anderszins onmogelijk werd gemaakt. 4.2

Wet- en regelgeving

Nederland • Aanpassingswet richtlijn inzake elektronische handel • Wet koop op afstand Europa • Richtlijn verkoop op afstand financiële diensten R 02/65/EG • Richtlijn BTW (en e-factureren) R 01/115/EG • Richtlijn elektronische handel R 00/31/EG • Richtlijn koop op afstand R 97/7/EG 4.3


• C. Albertingk Thijm, Het nieuwe informatierecht: Nieuwe regels voor het internet. 4.4


• Voldoen aan de wettelijke informatieplicht • Het minimaliseren van aansprakelijkheidsrisico’s 4.5


• Risicoanalyse aansprakelijkheidsrisico’s tussenpersonen • Integriteit van documenten en overeenkomsten

20

HOOFDSTUK 5

Elektronische overheid

5.1

Toelichting

De dienstverlening van de overheid vindt meer en meer elektronisch plaats. Naast het verstrekken van informatie aan burgers en bedrijven kunnen op steeds meer plekken interactieve diensten worden afgenomen of transacties worden verricht.26 Op de uitwisseling van informatie door en met de overheid zijn de regels van de Wet elektronisch bestuurlijk verkeer van toepassing. Op basis van deze wet is het voor bestuursorganen mogelijk om in het verkeer met burgers en bedrijven berichten elektronisch te verzenden, indien aan bepaalde eisen is voldaan.27 De doelstelling van deze wet is hindernissen weg te nemen voor de elektronische communicatie met en tussen de overheid (in het jargon: bestuursorganen).28 De wet is van toepassing op: • • • •

een aanvraag tot het geven van een beschikking; het naar voren brengen van zienswijzen; het indienen van een bezwaarschrift, beroepschrift of klacht; ter inzagelegging en kennisgeving aan belanghebbende(n).

Nevenschikking Voor elektronische communicatie met de overheid heeft de wetgever gekozen voor het beginsel van nevenschikking. Nevenschikking houdt in dat het versturen van berichten tussen overheid en burger/bedrijf naast de elektronische weg, ook langs de papieren weg mogelijk moet blijven. Het is van belang te realiseren dat het begin-

26. 27.

28.

Zie ICT en de overheid, http://www.minbzk.nl/ict_en_de_overheid Wet van 29 april 2004, houdende aanvulling van de Algemene wet bestuursrecht met regels over verkeer langs elektronische weg tussen burgers en bestuursorganen en daarmee verband houdende aanpassing van enige andere wetgeving (Wet elektronisch bestuurlijk verkeer), Stb. 2004, 261. Onder bestuursorgaan wordt verstaan (art. 1:1 lid 1 Awb): a. een orgaan van een rechtspersoon die krachtens publiekrecht is ingesteld, of b. een ander persoon of college, met enig openbaar gezag bekleed. De term burger, zoals in het kader van de Algemene wet bestuursrecht gebruikelijk, wordt gebruikt voor het onderscheid met bestuursorganen. Een verder onderscheid tussen particulier en bedrijf wordt niet gemaakt. De Wet elektronisch bestuurlijk verkeer heeft aldus ook betrekking op alle bedrijven die elektronisch met de overheid communiceren. Kamerstukken II 2001/02, 28 483, nr. 3, MvT blz. 36.

21


sel van nevenschikking een rol kan spelen bij de vraag wie bepaalt of het verkeer langs elektronische of conventionele weg plaatsvindt. Het beginsel van nevenschikking kent de volgende uitgangspunten: • de burger of het bedrijf bepaalt in welke vorm het verkeer plaatsvindt, indien een bestuursorgaan over beide mogelijkheden beschikt; • voorzover het bestuursorgaan over bepaalde zaken alleen maar op conventionele wijze communiceert, heeft de burger/het bedrijf geen keus; hij kan elektronisch verkeer dan niet afdwingen; • het is het bestuursorgaan niet toegestaan bepaalde zaken alleen nog maar langs elektronische weg te doen, tenzij alle betrokkenen hiermee instemmen of indien er specifieke wetgeving bestaat die dit toestaat.29 Kenbaar maken openstelling elektronische weg De overheid moet kenbaar maken dat het mogelijk is elektronisch met de overheid te communiceren. Indien de overheid dit nog niet kenbaar heeft gemaakt, heeft dit tot gevolg dat een elektronisch verzonden bericht door het bestuursorgaan kan worden geweigerd. Overigens kan ook door het bestuursorgaan besloten worden een elektronisch bericht in een dergelijke situatie te aanvaarden. Voorzover de elektronische weg door het bestuursorgaan niet is opengesteld, blijft de schriftelijke weg openstaan. Het kenbaar maken van de openstelling van de elektronische weg kan bijvoorbeeld plaatsvinden door het versturen van een informatiebrief, meldingen op websites en/of een e-mail met informatie. Schriftelijkheid Voor de realisatie van een elektronische overheid is het begrip ‘schriftelijk’ zo gekozen dat een schriftelijk stuk in de zin van deze wet op papier kan staan, maar ook een elektronisch document kan zijn. Het gevolg hiervan is dat een overheidsbesluit in beginsel zowel elektronisch als schriftelijk kan worden verstuurd.30 Vervolgens kunnen bijvoorbeeld bezwaarschriften zowel op papier als langs elektronische weg worden ingediend.31 Uiteraard moet het bestuursorgaan dan wel hebben aangegeven dat de elektronische weg openstaat en moet het beginsel van nevenschikking in acht worden genomen. Veiligheid van elektronische communicatie Een belangrijk aspect bij elektronische communicatie met de overheid is het garanderen van voldoende veiligheid. Het begrip veiligheid is onder te verdelen in betrouwbaarheid en vertrouwelijkheid. Het gebruik van papier voor communicatie biedt waarborgen voor de betrouwbaarheid en vertrouwelijkheid van het bericht. De inhoud van het bericht kan niet zomaar worden gewijzigd en als het bericht is ondertekend kan de instemming met enige zekerheid worden vastgesteld. Ook kan de herkomst met behulp van het briefpapier en de envelop worden vast-

29. 30. 31.

22

Art. 2:13 lid 2 en Kamerstukken II 2001/02, 28 483, nr. 3, MvT blz. 8. Besluit in de zin van art. 1:3 Awb. Kamerstukken II 2001/02, 28 483, nr. 3, MvT blz. 6.


gesteld. Elektronische berichten dienen met vergelijkbare waarborgen te worden omkleed. Ook in het geval van elektronische communicatie moet men erop kunnen rekenen dat een bericht afkomstig is van degene waarvan het zegt afkomstig te zijn en dat het onderweg niet is gewijzigd.32 Bovendien dient een bericht enkel toegankelijk te zijn voor de geadresseerde. Om dit te bereiken kan gebruik worden gemaakt van een elektronische handtekening. In hoofdstuk 6 wordt hier uitgebreid op ingegaan. Veiligheidseisen gelden zowel voor de verzending van elektronische berichten door de overheid, als voor elektronische berichten die aan het bestuursorgaan worden verzonden. Een bestuursorgaan kan als gevolg hiervan elektronische berichten weigeren, indien zij vermoedt dat deze onvoldoende beveiligd zijn.

• Indien een bestuursorgaan een bericht elektronisch verzendt, geschiedt dit op een voldoende betrouwbare en vertrouwelijke manier, gelet op de aard en de inhoud van het bericht en het doel waarvoor het wordt gebruikt. (art. 2:14 lid 3 Awb).

De betrouwbaarheid en vertrouwelijkheid kent meerdere aspecten:33 • Authenticiteit: is het bericht werkelijk afkomstig van de verzender, en is de verzender wie hij zegt dat hij is? • Integriteit: is het bericht juist en volledig en is het niet tussentijds gewijzigd? • Onweerlegbaarheid: kan de verzender of ontvanger ontkennen dat hij het bericht heeft gestuurd, dan wel ontvangen? • Transparantie. • Beschikbaarheid: is de informatie voldoende beschikbaar? • Flexibiliteit: kost het niet teveel moeite om het bericht te kunnen inzien?34 • Vertrouwelijkheid: heeft/hebben slechts de geadresseerde(n) toegang tot het bericht? Het bestuursorgaan zal bij elektronische communicatie de bovenstaande aspecten in acht moeten nemen.

32. 33.

34.

Kamerstukken II 2001/02, 28 483, nr. 3, MvT blz. 14. De zogenaamde algemene beginselen van behoorlijk ICT-gebruik. Zie H. Franken, Recht en computer, Deventer: Kluwer 1997, blz. 52-55. Zie ook H. Franken, Kanttekeningen bij het automatiseren van beschikkingen, in: Beschikken en automatiseren, VAR-reeks 110, Alphen aan den Rijn 1993. Bijvoorbeeld door het gebruik van onbekende bestandsformaten of omvangrijke bestanden. Van de burger en het bedrijfsleven mag niet klakkeloos worden verlangd dat zij de allernieuwste hard- en software ter beschikking hebben.

23


De beginselen komen tot uitdrukking in verschillende wetsbepalingen in de Algemene wet bestuursrecht.35 Een belangrijk deel van de betrouwbaarheid kan bij elektronische communicatie met de overheid worden gerealiseerd door gebruik te maken van de elektronische handtekening die aan bepaalde eisen voldoet, zoals gesteld in de Wet elektronische handtekening. Er bestaan verschillende niveaus van betrouwbaarheid variërend van zeer beperkt tot zeer hoog. Binnen de elektronische overheid is het verplichte beveiligingsniveau vastgesteld op een voldoende mate van betrouwbaarheid en vertrouwelijkheid. Wanneer er sprake is van een voldoende mate van betrouwbaarheid en vertrouwelijkheid is in algemene zin moeilijk te zeggen.36 Zo zal voor het versturen van een informatief bericht een e-mail zonder elektronische handtekening voldoende beveiliging bieden. Daarnaast kan de aard en inhoud van het bericht en het doel waarvoor het wordt gebruikt, ervoor zorgen dat een hoger niveau van betrouwbaarheid en vertrouwelijkheid wordt geëist. Telkens dient er rekening mee te worden gehouden dat de beveiliging binnen de elektronische overheid even groot dient te zijn als de beveiliging binnen de conventionele overheid. Tijdstip van verzending en ontvangst Het tijdstip waarop door de elektronische overheid een bericht wordt verzonden, is onder andere van belang voor de aanvang en het verlopen van termijnen. Om bijvoorbeeld vast te kunnen stellen of een bezwaarschrift tegen een besluit van een bestuursorgaan op tijd is ingediend, dient exact vastgesteld te worden wanneer dit besluit is verzonden. Het tijdstip waarop een bestuursorgaan een elektronisch bericht verzendt, is afhankelijk van het moment waarop het bericht een systeem voor gegevensverwerking bereikt waarover het bestuursorgaan geen controle meer heeft.37 In veel gevallen is dit het systeem van de tussenpersoon, te weten de internetprovider. Een bericht is aldus ook elektronisch verzonden, indien het de geadresseerde niet bereikt heeft. Dit is overigens bij de conventionele weg van berichtenverzending niet anders. Het risico van verzending van elektronische berichten ligt in beginsel bij de verzender.38 Indien de elektronische overheid een elektronisch bericht verzendt dat onvoldoende betrouwbaar en vertrouwelijk is, zijn de gevolgen afhankelijk van het soort bericht. Indien bijvoorbeeld een besluit bekend wordt gemaakt, zal het gevolg zijn dat het niet in werking treedt.

35.

36. 37. 38.

24

Art 2:14 lid 3 Awb heeft betrekking op betrouwbaarheid en vertrouwelijkheid van berichten die verzonden worden door de overheid. Art. 2:15 lid 3 Awb heeft betrekking op betrouwbaarheid en vertrouwelijkheid van berichten die verzonden worden aan de overheid. Art. 2:16 Awb ziet op de elektronische ondertekening van berichten. Kamerstukken II 2001/02, 28 483, nr. 3, MvT blz. 17. Art. 2:17 lid 1 Awb. Kamerstukken II 2001/02, 28 483, nr. 3, MvT blz. 33.


Het tijdstip van ontvangst van een elektronisch bericht door een bestuursorgaan is afhankelijk van het moment dat het bericht het systeem van het bestuursorgaan heeft bereikt. De overheid is verplicht in het geval van ontvangst van een aanvraag een elektronische ontvangstbevestiging te sturen.39 De reden voor het opnemen van een ontvangstbevestiging is de betrouwbaarheid van het elektronisch berichtenverkeer te vergroten. Nu een ontvangstbevestiging volledig geautomatiseerd kan plaatsvinden, vergt het een kleine inspanning voor het bestuursorgaan. Met de ontvangstbevestiging wordt enkel aangegeven dat de aanvraag is ontvangen. Er wordt geen oordeel gegeven over de vraag of de aanvraag volledig en juist is ingediend. 5.2

Wet- en regelgeving

Nederland • Wet elektronisch bestuurlijk verkeer • Aanpassingsbesluit Wet elektronisch bestuurlijk verkeer Europa • Richtlijn inzake het hergebruik van overheidsinformatie (2003/98/EG) 5.3


• J.E.J. Prins, E-overheid: evolutie of revolutie? Nederlands Juristenblad 2001/11, blz. 515-520. 5.4


• In acht nemen van het beginsel van nevenschikking • Kenbaarheid openstellen elektronische communicatie 5.5


• Betrouwbaarheid van elektronische communicatie tussen burger en overheid en overheid onderling • Het tijdstip van verzending en ontvangst van elektronische berichten door de overheid • De verplichting tot het sturen van een ontvangstbevestiging, indien elektronisch een aanvraag wordt ingediend

39.

Art. 4:3a Awb.

25

HOOFDSTUK 6

Elektronische handtekening

6.1

Toelichting

Typen Handtekeningen bestaan in verschillende soorten. Het meest bekend is de ‘normale’ handgeschreven handtekening. De elektronische variant van de handgeschreven handtekening wordt elektronische handtekening genoemd.40

• Onder elektronische handtekening wordt een handtekening verstaan die bestaat uit elektronische gegevens die zijn vastgehecht aan of logisch geassocieerd zijn met andere elektronische gegevens en die worden gebruikt als middel voor authentificatie.41

De elektronische handtekening kent verschillende varianten, bijvoorbeeld een gescande handtekening, een pincode, een username-wachtwoordcombinatie en de zogenaamde ‘geavanceerde elektronische handtekening’. De geavanceerde elektronische handtekening De geavanceerde elektronische handtekening is een handtekening die is gebaseerd op een techniek genaamd Public Key Infrastructure (PKI). Deze techniek kan naast elektronische handtekeningen ook worden ingezet voor authenticatie (toegang) en exclusiviteit (vertrouwelijkheid). De techniek werkt op basis van een wiskundig principe waarmee twee verschillende bij elkaar horende codes, die sleutels worden genoemd, worden gegenereerd. De unieke code wordt verbonden aan de identiteit, vaak de naam, van de ondertekenaar.42

40. 41. 42.

Soms ook digitale handtekening. Hier wordt vaak een specifiek type elektronische handtekening mee bedoeld, namelijk de geavanceerde elektronische handtekening. Art. 3:15a lid 4 BW. Dit kan bijvoorbeeld ook worden verbonden aan functie.

27


• ‘Geavanceerde elektronische handtekening’: een elektronische handtekening die voldoet aan de volgende eisen: a) is op unieke wijze aan de ondertekenaar verbonden; b) maakt het mogelijk de ondertekenaar te identificeren; c) komt tot stand met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden; en d) is op zodanige wijze aan de gegevens waarop zij betrekking heeft verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord.43

De middelen voor het zetten van een geavanceerde elektronische handtekening, oftewel de digitale identiteit, kan worden verkregen bij een zogenaamde certificatiedienstverlener (in het Engels Certification Service Provider of CSP).44 De certificatiedienstverlener staat in meer of mindere mate in voor de verstrekte digitale identiteit. De digitale identiteit wordt door de certificatiedienstverlener neergelegd in een digitaal certificaat. In het certificaat worden vaak de naam, de organisatie, het e-mailadres en de geldigheidsduur (de houdbaarheid) weergegeven. De geldigheid en betrouwbaarheid van het certificaat kan bij de certificatiedienstverlener worden gecontroleerd.

De betrouwbaarheid van het certificaat hangt, naast de technische inrichting, af van de procedures die de certificatiedienstverlener heeft ingericht om de identiteit van de ondertekenaar (in het jargon: de certificaathouder) vast te stellen.45 Indien de 43. 44. 45.

28

Art. 2 lid 2 Richtlijn elektronische handtekeningen. In oudere teksten vaak Trusted Third Party of TTP. Vaak zijn deze procedures neergelegd in een zogenaamd Certification Practice Statement en/of Certificate Policy. Zie hierover ook A.W. Duthler, Met recht een TTP! Een onderzoek naar juridische modellen voor een Trusted Third Party, Deventer: Kluwer 1998.


certificatiedienstverlener aan bepaalde betrouwbaarheidseisen voldoet mag hij zogenaamde gekwalificeerde certificaten uitgeven. Dergelijke certificaten kennen daarmee een zekere mate van betrouwbaarheid. Intrekking van certificaten Het kan voorkomen dat een certificaat zijn betrouwbaarheid verliest (vergelijk het verliezen van een bankpas of creditcard) of dat de inhoud van het certificaat niet meer geldig is. De ondertekenaar kan zijn certificaat bijvoorbeeld zijn kwijtgeraakt of het certificaat kan zijn gestolen. In dergelijke gevallen wordt het certificaat, na melding van de eigenaar, door de certificatiedienstverlener ingetrokken. Het intrekken van een certificaat gebeurt door het in een lijst met ingetrokken certificaten te plaatsen.46 Partijen die een ondertekend bericht ontvangen kunnen deze lijst raadplegen om te controleren of de handtekening (het certificaat) nog geldig is. Rechtsgevolgen Een elektronische handtekening kan dezelfde rechtsgevolgen als een handgeschreven handtekening hebben. De rechtsgevolgen hangen af van het doel waarvoor de elektronische gegevens werden gebruikt en op alle overige omstandigheden van het geval.

• Een elektronische handtekening heeft dezelfde rechtsgevolgen als een handgeschreven handtekening, indien de methode die daarbij is gebruikt voor authentificatie voldoende betrouwbaar is, gelet op het doel waarvoor de elektronische gegevens werden gebruikt en op alle overige omstandigheden van het geval.47

Deze juridische formulering maakt dat het moeilijk is eenduidig vast te stellen wanneer een elektronische handtekening voldoende betrouwbaarheid heeft. Van één soort handtekening is vastgesteld dat deze vermoed wordt rechtsgeldig te zijn. Dit is de geavanceerde elektronische handtekening, gebaseerd op een gekwalificeerd certificaat die door een veilig middel is aangemaakt.48 Dit betekent in de praktijk dat het gebruik van een dergelijke handtekening rechtsgevolgen heeft, tenzij het tegendeel wordt bewezen. Het voordeel van het gebruik van een handtekening die wordt vermoed rechtsgeldig te zijn, is dat partijen die deze willen gebruiken geen moeilijke inschattingen hoeven te maken over de rechtsgeldigheid. Ook is het in dat geval vaak niet nodig onderling (contractuele) afspraken te maken over de rechtsgeldigheid van de hand-

46. 47. 48.

De lijst heet in het Engels ‘Certificate Revocation List’ (CRL). De CRL kent een bepaalde verversingsfrequentie. De verversingsfrequentie van dergelijke lijsten kan uiteenlopen. Art. 3:15a lid 1 BW. Een veilig middel is in de praktijk meestal een smartcard.

29


tekening. Dit voordeel speelt met name een rol als partijen vooraf geen of een beperkte relatie met elkaar hebben.

• Rechtsgevolgen van elektronische handtekeningen: 1. De lidstaten zorgen ervoor dat geavanceerde elektronische handtekeningen die zijn gebaseerd op een gekwalificeerd certificaat en die door een veilig middel zijn aangemaakt; a) ten aanzien van gegevens in elektronische vorm voldoen aan alle wettelijke eisen voor een handtekening, net zoals een handgeschreven handtekening zulks doet voor gegevens op een papieren drager; alsmede b) als bewijsmiddel in gerechtelijke procedures worden toegelaten.49

Een handgeschreven, en daarmee dus ook een elektronische handtekening kan bijvoorbeeld als rechtsgevolg hebben dat een overeenkomst (contract) totstandkomt.50 Aansprakelijkheid De certificatiedienstverlener kan aansprakelijk zijn voor bepaalde inbreuken op de werking van de handtekening (het certificaat), de juistheid van de gegevens in het certificaat, de identificatie van de ondertekenaar bij de uitgifte van het certificaat en voor niet-tijdige intrekking van het certificaat. Overige aspecten Overige aspecten die van belang kunnen zijn met betrekking tot elektronische handtekeningen, zijn markttoegang, privacy, toezicht en het erkennen van handtekeningen van buiten de Europese Unie. De overheid heeft de eisen aan elektronische handtekeningen die worden gebruikt in het verkeer van en met de overheid nader uitgewerkt.51 6.2

Wet- en regelgeving

Nederland • Wet elektronische handtekeningen • Besluit elektronische handtekeningen • Regeling elektronische handtekeningen Europa • Richtlijn elektronische handtekeningen R 99/93/EG • Erkende normen C 2003/511/EG • Beschikking Commissie C 2000/709/EG

49. 50.

51.

30

Art. 5 lid 1 Richtlijn elektronische handtekeningen. Hiervoor is ondertekening juridisch niet vereist. Ondertekening fungeert feitelijk wel vaak als een aanvaarding van de overeeenkomst. Zie art. 6:217 BW, dat geen expliciet vormvereiste kent. Bepaalde typen overeenkomsten kunnen wel vormvereisten kennen. Zie art. 6:226 BW. Zie www.pkioverheid.nl


6.3


• Handboek PKI voor Proceseigenaren (Taskforce PKIoverheid). • TTP.nl Scheme for Certification of Certification Authorities against ETSI TS 101 456 (ECP.nl). • e-OK raamwerk authenticatie (ECP.nl). 6.4


• Keuze voor een rechtsgeldige en betrouwbare elektronische handtekening • Het minimaliseren van aansprakelijkheidsrisico’s • Het minimaliseren van beveiligingsrisico’s bij authenticatie en beveiliging 6.5


• Controle betrouwbaarheid certificatiedienstverlener • Controle betrouwbaarheid ontvangen en gebruikte elektronische handtekeningen • Risicoanalyse handtekeningen, authenticatiemiddelen en beveiliging

31

HOOFDSTUK 7

Intellectuele eigendom

7.1

Toelichting

Het verzamelbegrip ‘intellectuele eigendom’ bestaat uit meerdere rechten. De belangrijkste daarvan zijn het auteursrecht, het databankenrecht, het merkenrecht en het octrooirecht (Amerikaans: patent).52 De vier genoemde ontstaan op andere wijzen, zijn anders van aard en karakter en hebben een andere geldigheidsduur. Hieronder worden de overeenkomsten en verschillen kort toegelicht. Auteursrecht Het auteursrecht is het recht van de maker van een werk van letterkunde, wetenschap of kunst om dit openbaar te maken en te verveelvoudigen.53 De auteur bepaalt dus wat er met zijn werk mag gebeuren. Computerprogramma’s (software) en het voorbereidend materiaal zijn te beschouwen als een werk van letterkunde, wetenschap of kunst en worden dus door het auteursrecht beschermd.54

• Het auteursrecht is het uitsluitend recht van den maker van een werk van letterkunde, wetenschap of kunst, of van diens rechtverkrijgenden, om dit openbaar te maken en te verveelvoudigen, behoudens de beperkingen, bij de wet gesteld. (art. 1 Aw 1912)

Om aangemerkt te worden als werk dat wordt beschermd door het auteursrecht moet er sprake zijn van een eigen oorspronkelijk karakter en het werk moet het persoonlijk stempel van de maker dragen.55 Met andere woorden: er moet sprake zijn van enige creatieve arbeid.56 Het auteursrecht beschermt geen ideeën. De ideeën moeten zijn neergelegd op een drager (papier, computer, schilderdoek enz.), voordat zij onder het auteursrecht vallen.

52. 53. 54. 55. 56.

Verder bijvoorbeeld rechten die gelden op industriële tekeningen en modellen, kweekproducten, (een nieuwe bloemsoort), topografiëen van halfgeleiders (chips) en handelsnamen. Zie art. 1 Aw. Art. 10 lid 1 sub 12 Aw. HR 4 januari 1991, NJ 1991, 609, Van Dale/Romme. Dit is uitdrukkelijk iets anders dan naamsvermelding. Dit betekent uitdrukkelijk niet dat er een grote mate van creativiteit nodig is. Ook weinig vernieuwende werken worden beschermd, mits zij een eigen oorspronkelijk karakter hebben en het persoonlijke stempel van de maker dragen.

33


Een auteursrecht ontstaat van rechtswege, dat wil zeggen er is geen registratie, depot of andere handeling voor nodig. Ook het opnemen van een ‘copyright notice’ © is geen vereiste voor het ontstaan.57 Een auteursrecht blijft bestaan tot 70 jaar na de dood van de maker.58

• Onder werken van letterkunde, wetenschap of kunst verstaat deze wet: 1°. boeken, brochures, nieuwsbladen, tijdschriften en alle andere geschriften; 3°. mondelinge voordrachten; 9°. fotografische werken; 10°. filmwerken; 11°. werken van toegepaste kunst en tekeningen en modellen van nijverheid; 12°. computerprogramma’s en het voorbereidend materiaal; en in het algemeen ieder voortbrengsel op het gebied van letterkunde, wetenschap of kunst, op welke wijze of in welken vorm het ook tot uitdrukking zij gebracht. (art. 10 lid 1 Aw 1912)

Het is mogelijk auteursrechten over te dragen. Dit gebeurt door middel van een akte.59 In de praktijk wordt vaak een gebruiksrecht verleend. Een dergelijk gebruiksrecht wordt vaak licentie genoemd.60 De licentie bepaalt onder welke voorwaarden het werk mag worden gebruikt. Naast het auteursrecht heeft de maker, ook als hij het auteursrecht heeft overgedragen, het recht op naamsvermelding. Ook heeft hij het recht zich te verzetten tegen openbaarmaking onder een andere naam, tegen wijzigingen in het werk en tegen verminking of aantasting van het werk, indien dit de eer of de naam van de maker zou kunnen schaden.61 Databankenrecht Het databankenrecht beschermt de producent van een databank. De producent van een databank is degene die het risico draagt van de voor de databank te maken investering.62 Omdat veel databanken geen creatieve inspanning vereisen, maar wel een aanzienlijke investering van de producent vragen worden de inspanningen van de producent beschermd.

57.

58. 59. 60. 61. 62.

34

Een dergelijke copyright notice wordt in de Verenigde Staten met name gebruikt om het verweer van de tegenpartij dat hij niet wist dat er auteursrechten op het werk rusten te ontkrachten. Art. 37 lid 1 Aw. Art. 2 lid 2 Aw. Denk bijvoorbeeld aan softwarelicenties. De zogenaamde persoonlijkheidsrechten (art. 25 Aw). Deze rechten kunnen niet worden overgedragen. Art. 1 lid 1 sub b Databankenwet.


• Databank: een verzameling van werken, gegevens of andere zelfstandige elementen die systematisch of methodisch geordend en afzonderlijk met elektronische middelen of anderszins toegankelijk zijn en waarvan de verkrijging, de controle of de presentatie van de inhoud in kwalitatief of kwantitatief opzicht getuigt van een substantiële investering. (art. 1 sub a Databankenwet)

De producent van een databank bepaalt wie en onder welke voorwaarden het recht heeft om de databank of substantiële delen van de databank op te vragen of her te gebruiken. Ook mag hij het herhaald en systematisch opvragen of hergebruiken van niet-substantiële delen van de inhoud van een databank verbieden.63 Het recht op de databank ontstaat op het tijdstip waarop de productie van de databank is voltooid en heeft een duur van vijftien jaar.64 Het is niet nodig een bepaalde handeling, zoals registratie, te verrichten om het recht te verkrijgen. Merkenrecht Om een merkrecht te verkrijgen is het nodig dat het merk wordt ingeschreven in het register. Daarbij kan worden gekozen tussen een inschrijving voor de Benelux of een inschrijving binnen Europa. Merken worden ingeschreven voor een bepaalde categorie diensten of producten. De houder van het merk kan zich verzetten tegen het gebruik dat in het economisch verkeer van het merk wordt gemaakt voor de waren waarvoor het merk is ingeschreven of indien door dat gebruik ongerechtvaardigd voordeel kan worden getrokken uit of afbreuk kan worden gedaan aan het onderscheidend vermogen of de reputatie van het merk. Ook kan de merkhouder zich verzetten indien in dezelfde categorie gebruik wordt gemaakt van een vergelijkbaar teken of aanduiding, waardoor de mogelijkheid van onterechte associatie met zijn merk zou kunnen ontstaan. Merkinbreuken spelen vaak een rol bij geschillen over domeinnamen.65 Voor het verkrijgen van een merkrecht is een depot (inschrijving) in het merkenregister vereist. Afhankelijk van de omvang van het gewenste merkenrecht kan dit bij het Benelux Merken Bureau (Benelux) of het Europees Merken Bureau (Europa).66 De inschrijving heeft een geldigheidsduur van tien jaar en kan worden verlengd.67 De aanwezigheid van een merkrecht wordt vaak aangeduid met de letters tm sm of ®.68

63. 64. 65. 66. 67. 68.

Voorzover dit in strijd is met de normale exploitatie van die databank of ongerechtvaardigde schade toebrengt aan de rechtmatige belangen van de producent van de databank. Na 1 januari van het jaar volgend op het tijdstip van voltooiing. Zie art. 6 Databankenwet. Zie http://www.domjur.nl/ http://oami.eu.int/ Zie art. 10 BMW. Respectievelijk trademark, servicemark en registered trademark. Het deponeren van een merk is naar Amerikaans recht niet standaard, vandaar het onderscheid.

35


Dergelijke aanduidingen zijn in Europa niet noodzakelijk en hebben geen directe gevolgen. Naast het merkrecht kunnen rechten ontstaan op het gebruik van een bepaalde handelsnaam. In dat geval is geen depot vereist, maar is het voldoende dat de handelsnaam wordt gebruikt.69 Het recht is dan ook beperkter van omvang. Octrooirecht Octrooien, ook wel patenten genoemd, kunnen worden gevestigd op uitvindingen die nieuw zijn.70 De uitvinding mag niet op een voor de hand liggende wijze voortvloeien uit de stand van de techniek.71 Voor het verkrijgen van een octrooi moet een aanvraag bij het Octrooibureau worden ingediend. Het octrooi kent een duur van twintig jaar.72

• 1. Vatbaar voor octrooi zijn uitvindingen die nieuw zijn, op uitvinderswerkzaamheid berusten en toegepast kunnen worden op het gebied van de nijverheid. (art. 2 Rijksoctrooiwet 1995) 2. In de zin van het eerste lid worden in het bijzonder niet als uitvindingen beschouwd: a. ontdekkingen, alsmede natuurwetenschappelijke theorieën en wiskundige methoden; b. esthetische vormgevingen; c. stelsels, regels en methoden voor het verrichten van geestelijke arbeid, voor het spelen of voor de bedrijfsvoering, alsmede computerprogramma’s; d. presentaties van gegevens.

Over de mogelijkheid om octrooien op software toe te laten wordt momenteel nog discussie gevoerd. Op dit moment is dit niet mogelijk. Evenmin is het mogelijk werkwijzen (‘business methods’) te octrooieren.73 Een nieuwe Europese richtlijn zou dit mogelijk moeten maken. Invoering (en omzetting in Nederlands recht) zal waarschijnlijk nog even duren. Voorlopig komt software niet direct voor bescherming in aanmerking. In de praktijk wordt vaak geprobeerd de principes achter de software te octrooieren.

69. 70.

71. 72. 73.

36

Zie de Handelsnaamwet. Art. 2 lid 1 Rijksoctrooiwet 1995. Een uitvinding wordt als nieuw beschouwd, indien zij geen deel uitmaakt van de stand van de techniek. De stand van de techniek wordt gevormd door al hetgeen voor de dag van indiening van de octrooiaanvrage openbaar toegankelijk is gemaakt door een schriftelijke of mondelinge beschrijving, door toepassing of op enige andere wijze. Zie art. 6 Rijksoctrooiwet 1995. Art. 36 lid 5 Rijksoctrooiwet 1995. Naar Amerikaans recht kan dit wel.


Licenties en contracten Afspraken over het gebruik van werken waarop auteursrecht rust, merken en octrooien worden vaak vastgelegd in contracten of gebruiksrechten (licenties). Het maken van evenwichtige en duidelijke afspraken over intellectuele eigendomsrechten en het vastleggen van vrijwaringen voor aanspraken van derden kan vaak veel problemen voorkomen.74 7.2

Wet- en regelgeving

Nederland • Auteurswet 1912 • Wet op de naburige rechten • Eenvormige Beneluxwet op de merken (Benelux Merkenwet) • Handelsnaamwet • Databankenwet • Rijksoctrooiwet 1995 Europa • Auteursrecht richtlijn (2001/29/EG) • Volgrechtrichtlijn (2001/84/EG) • Handhavingsrichtlijn (2004/48/EG) • Richtlijn biotechnologische uitvindingen (98/44/EG) • Databankrichtlijn (96/9/EG) • Softwarerichtlijn (91/250/EEG) • Merkenrichtlijn (89/104/EG) 7.3


• B. Schermer, Auteursrecht en Informatiemaatschappij, een kort overzicht (ECP.nl). • B. Schermer, Auteursrecht voor ondernemers (ECP.nl). • L. Wichers Hoeth, Kort begrip van het intellectuele eigendomsrecht, Deventer: W.E.J. Tjeenk Willink, 2000. 7.4


• Verkrijgen van voldoende rechten • Minimaliseren van inbreuken afbreukrisico’s 7.5


• Analyse kwaliteit kopieerbeveiliging • Risicoanalyse kopieerbeveiliging

74.

Zie hierover ook A.W. Duthler, Beheersing van automatiseringsrisico’s: het belang van goede (verzekerings)contracten, Alphen aan den Rijn: Samsom Bedrijfsinformatie 1995.

37

HOOFDSTUK 8

Privacy

8.1

Toelichting

De bescherming van de privacy (persoonlijke levenssfeer) wordt in Nederland met name geregeld door de Wet bescherming persoonsgegevens (Wbp). Een persoonsgegeven is elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.75 De regels van de wet zijn daarmee ook van toepassing indien de identiteit van de betrokken persoon niet direct wordt genoemd, maar via een omweg kan worden herleid. Voor de hieronder te bespreken uitgangspunten, verplichtingen en rechten geldt dat deze niet van toepassing zijn indien geen persoonsgegevens worden verwerkt.

• Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. (art. 1 sub a Wbp)

De Wbp onderscheidt gewone persoonsgegevens en bijzondere persoonsgegevens. Bijzondere persoonsgegevens zijn gegevens omtrent iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven en persoonsgegevens over het lidmaatschap van een vakvereniging.76 Bijzondere gegevens mogen in beginsel niet worden verwerkt, tenzij aan één van de uitzonderingen uit de wet is voldaan. De Wbp kent een aantal uitgangspunten waaraan de verwerking van persoonsgegevens moet voldoen, te weten zorgvuldigheid, doelbinding, proportionaliteit/subsidiariteit en transparantie. Deze uitgangspunten worden hieronder kort besproken. Zorgvuldigheid Persoonsgegevens dienen in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze te worden verwerkt.77

75. 76. 77.

Art. 1 sub a Wbp. Art. 16 Wbp. Art. 6 Wbp.

39

Privacy

Doelbinding Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld.78 Gegevens mogen niet worden verzameld zonder een specifiek doel. Ook verdere verwerking is slechts toegestaan indien dit gebeurt op een wijze die verenigbaar is met de doeleinden waarvoor de persoonsgegevens zijn verkregen.79 Proportionaliteit/Subsidiariteit Persoonsgegevens worden slechts verwerkt voorzover zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, terzake dienend en niet bovenmatig zijn.80 Het beginsel van proportionaliteit brengt met zich mee dat het doel waarvoor de persoonsgegevens worden verwerkt niet in redelijkheid op een andere, voor de betrokkene minder nadelige wijze te kunnen worden verwezenlijkt.81 Als het doel met minder ingrijpende middelen kan worden verwezenlijkt dan dient de alternatieve weg te worden bewandeld. In het geval wel persoonsgegevens worden verwerkt dan dienen bestaande mogelijkheden te worden benut om de inbreuk op de persoonlijke levenssfeer van betrokkenen te beperken.82 Transparantie De verwerking van persoonsgegevens dient op transparante wijze plaats te vinden. De uitgangspunten hebben hun weerslag gevonden in de verplichtingen en rechten, die hierna worden besproken. Hieronder wordt eerst ingegaan op de verschillende rollen die de Wbp onderscheidt ten aanzien van de verwerking van persoonsgegevens. De belangrijkste rollen zijn de verantwoordelijke, de bewerker en de betrokkene. Deze rollen worden hieronder kort besproken. Betrokkene De betrokkene is degene op wie een persoonsgegeven betrekking heeft.83 Dit is de persoon wiens privacy door de Wbp wordt beschermd. Verantwoordelijke De verantwoordelijke is de natuurlijke persoon, de rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.84 Met andere woorden:

78. 79. 80. 81. 82. 83. 84.

40

Art. 7 Wbp. Art. 9 lid 1 Wbp. Art. 11 lid 1 Wbp. Kamerstukken II 1997/1998, 25 892, nr. 3, blz. 8. Kamerstukken II 1997/1998, 25 892, nr. 3, blz. 9. Art. 1 sub f Wbp. Art. 1 sub d Wbp.

Privacy

degene die bepaalt dat en hoe de persoonsgegevens worden verwerkt is in beginsel verantwoordelijke.85 Bewerker De bewerker is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.86 Bepalend voor de afbakening van het begrip is de relatie met de verantwoordelijke voor de gegevensverwerking en de mate van zeggenschap waarmee de verwerking van persoonsgegevens gepaard gaat.87 De bewerker heeft geen zeggenschap over het doel en de middelen voor de gegevensverwerking. Indien hij dit wel heeft, dan moet hij worden aangemerkt als (mede)verantwoordelijke. Bewerkers zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen.88 Verplichtingen van de verantwoordelijke De belangrijkste verplichtingen van de verantwoordelijke zijn melding, beveiliging en informatieverstrekking. – Melding De verantwoordelijke heeft de verplichting om de binnen haar organisatie aanwezige verwerkingen van persoongegevens te melden bij het College Bescherming Persoonsgegevens of, wanneer deze binnen de eigen organisatie is benoemd, de functionaris voor de gegevensbescherming.89 De wetgever heeft echter onderkend dat bij een groot aantal veel voorkomende verwerkingen de mogelijke privacyinbreuk voor betrokkenen beperkt is. Deze verwerkingen zijn opgenomen in het Vrijstellingsbesluit Wbp. Het Vrijstellingsbesluit bevat een overzicht van verwerkingen van persoonsgegevens die onder strikte voorwaarden vrijgesteld zijn van de meldingsplicht. Om een verwerking vrij te kunnen stellen van melding moet de verwerking aan alle eisen uit een bepaald artikel van het Vrijstellingsbesluit voldoen. Een verwerking die niet of slechts ten dele aan het Vrijstellingsbesluit voldoet moet gewoon gemeld worden. Het opzettelijk niet of niet volledig melden vormt een strafbaar feit en kan resulteren in een geldboete of gevangenisstraf.90 – Beveiliging De verantwoordelijke voor de gegevensverwerking is verplicht passende technische en organisatorische maatregelen ten uitvoer te leggen om de persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze beveiligingsverplichting is door het CBP nader uitgewerkt in Achtergrondstudies &

85.

86. 87. 88. 89. 90.

Het is mogelijk in het geval dat meerdere partijen betrokken zijn bij één verwerking zij een gezamenlijke of een gedeelde verantwoordelijkheid dragen. De uiteindelijke kwalificatie van het type verantwoordelijkheid zal afhangen van de concrete omstandigheden van het geval. Art. 1 sub e Wbp. Kamerstukken II 1997/1998, 25 892, nr. 3, blz. 61. Behoudens wettelijke uitzonderingen, zie art. 12 lid 2. Hierin komt het eerder genoemde transparantiebeginsel tot uitdrukking. Art. 75 Wbp.

41

Privacy

Verkenningen nummer 23.91 De aard, omvang en gebruik van de persoonsgegevens zijn bepalend bij het vaststellen in welke risicoklasse de gegevensverwerking valt. Bij de aard van de gegevens kan worden gedacht aan de zogenaamde bijzondere persoonsgegevens en financiële gegevens.

• De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. (art. 13 Wbp)

– Informatieverstrekking De verantwoordelijke moet de betrokkene informeren dat zijn persoonsgegevens worden verwerkt.92 De verantwoordelijke moet extra informatie verstrekken, voorzover dat nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen.93 Verplichtingen ten aanzien van bewerkers De verantwoordelijke dient er zorg voor te dragen dat de bewerker de verplichtingen, met uitzondering van transparantie, naleeft.94 Daarnaast dient de verantwoordelijke voor de verwerking van persoonsgegevens ervoor te zorgen dat de bewerker voldoende waarborgen biedt ten aanzien van de beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen.95 De uitvoering van verwerkingen door een bewerker wordt geregeld in een overeenkomst of krachtens een andere rechtshandeling waardoor een verbintenis ontstaat tussen de bewerker en de verantwoordelijke.96 Aansprakelijkheid De verantwoordelijke of bewerker kan aansprakelijk worden gesteld voor het niet nakomen van de wettelijke verplichtingen.97

91. 92. 93.

94. 95. 96. 97.

42

G.W. van Blarkom en J.J. Borking, Beveiliging van persoonsgegevens, Achtergrondstudies en verkenningen 23, Den Haag: Registratiekamer 2001. Zie art. 33 en 34 Wbp. Art. 33 lid 2 Wbp. Indien persoonsgegevens op een andere wijze dan bij de betrokkene worden verkregen deelt de verantwoordelijke de betrokkene de informatie mede, tenzij de betrokkene reeds op de hoogte is op het moment van vastlegging van hem betreffende gegevens. Zie art. 34 Wbp. Art. 15 Wbp. Art. 14 lid 1 Wbp. Art. 14 lid 2 Wbp. Zie art. 49 Wbp.

Privacy

Rechten van betrokkenen De belangrijkste rechten van betrokkenen zijn het recht op inzage, het recht op verbetering, aanvulling, verwijdering of afscherming98 en het recht van verzet. – Recht op inzage De betrokkene kan inzage verzoeken in zijn persoonsgegevens. De verantwoordelijke moet binnen vier weken aangeven of, en zo ja welke, persoonsgegevens van de betrokkene worden verwerkt.99 – Recht op verbetering, aanvulling, verwijdering of afscherming Indien de persoonsgegevens onjuist blijken kan de betrokkene de verantwoordelijke verzoeken de hem betreffende persoonsgegevens te verbeteren of aan te vullen.100 Als de gegevens niet verwerkt mogen worden of niet terzake dienend zijn kan de betrokkene de verantwoordelijke verzoeken deze te verwijderen of af te schermen. – Recht van verzet De betrokkene kan in een aantal gevallen verzet aantekenen tegen de verwerking van de hem betreffende gegevens.101 De verantwoordelijke beoordeelt binnen vier weken na ontvangst van het verzet of het verzet gerechtvaardigd is.102 Indien het verzet gerechtvaardigd is moet de verantwoordelijke onmiddellijk de verwerking beëindigen.103 Verstrekking aan derde landen Voor het doorgeven van persoonsgegevens aan landen buiten de Europese Unie gelden speciale regels. Persoonsgegevens mogen slechts naar een land buiten de Europese Unie worden doorgegeven indien dat land een passend beschermingsniveau waarborgt.104 Specifieke regels Voor gemeenten bevat de Wet gemeentelijke basisadministratie van persoonsgegevens (Wet GBA) vergelijkbare bepalingen. Voor aanbieders van elektronische communicatienetwerken en -diensten gelden naast de regels uit de Wbp de specifieke bepalingen uit de Telecommunicatiewet.105

98. 99. 100. 101. 102. 103. 104. 105.

Ook wel correctierecht genoemd. Zie art. 35 lid 1 Wbp. Het verzoek moet de aan te brengen wijzigingen bevatten. Zie art. 36 lid 1 Wbp. Zie art. 40 en 41 Wbp. Art. 40 lid 2 Wbp. Idem. Art. 77 Wbp. Zie hoofdstuk 11 Tw.

43

Privacy

8.2

Wet- en regelgeving

Nederland • Wet bescherming persoonsgegevens (Wbp) • Vrijstellingsbesluit Wbp • Wet gemeentelijke basisadministratie van persoonsgegevens (Wet GBA) • Besluit gemeentelijke basisadministratie persoonsgegevens • Telecommunicatiewet • Wet politieregisters (wordt Wet politiegegevens) Europa • Richtlijn betreffende privacy en elektronische communicatie R 02/58/EG • Richtlijn bescherming persoonsgegevens telecommunicatiesector R 97/66/EG • Richtlijn privacy 95/46/EEG 8.3


• NOREA, ‘ZekereRE Privacy’. • T.F.M. Hooghiemstra, Tekst en toelichting Wet bescherming persoonsgegevens, Den Haag : Koninklijke Vermande, 2003. • G.W. van Blarkom en J.J. Borking, Beveiliging van persoonsgegevens, Achtergrondstudies en verkenningen 23, Den Haag: Registratiekamer 2001. • M.J.T. Artz en M.M.M. van Eijk, Klant in het web. Privacywaarborgen voor internettoegang, Achtergrondstudies en verkenningen 17, Den Haag: Registratiekamer 2000. 8.4


• Voldoen aan de wettelijke verplichtingen • Beheersen van aansprakelijkheidsrisico’s 8.5


• Controle van beveiligingsmaatregelen • Implementatie van de Wbp in de administratieve organisatie, procedures en maatregelen

44

HOOFDSTUK 9

Telecommunicatie

9.1

Toelichting

De Telecommunicatiewet is van toepassing op de elektronische communicatiesector, dat wil zeggen aanbieders van elektronische communicatienetwerken en -diensten. In de wet zijn de rechten en plichten van en voor aanbieders opgenomen. Hiermee wordt beoogd de daadwerkelijke concurrentie op de markt te bevorderen en misbruik van een machtspositie te voorkomen. Daarnaast is de wet gericht op de bescherming van eindgebruikersbelangen. Kenmerkend voor de wetgeving is de technologieonafhankelijke formulering. Door deze technologieonafhankelijke formulering kan binnen de elektronische communicatiesector worden ingespeeld op karakteristieke marktontwikkelingen zoals de zogenaamde convergentie. Convergentie houdt in dat de sectoren telecommunicatie, informatietechnologie en omroep steeds meer samenvloeien. Het gevolg van convergentie is dat dezelfde telecommunicatiediensten over verschillende netwerkinfrastructuren kunnen worden aangeboden. Zo is de toegang tot het internet mogelijk via het vaste telefoonnet, de kabel en satelliet en is spraak mogelijk over telefoonlijnen, het internet (VoIP) of over DSL (VoDSL). • Elektronisch communicatienetwerk: transmissiesystemen, waaronder mede begrepen de schakel- of routeringsapparatuur en andere middelen, die het mogelijk maken signalen over te brengen via kabels, radiogolven, optische of andere elektromagnetische middelen, waaronder satellietnetwerken, vaste en mobiele terrestrische netwerken, elektriciteitsnetten, voorzover deze voor overdracht van signalen worden gebruikt en netwerken voor radio- en televisieomroep en kabeltelevisienetwerken, ongeacht de aard van de overgebrachte informatie.106 • Elektronische communicatiedienst: gewoonlijk tegen vergoeding aangeboden dienst die geheel of hoofdzakelijk bestaat in het overbrengen van signalen via elektronische communicatienetwerken, waaronder telecommunicatiediensten en transmissiediensten op netwerken die voor omroep worden gebruikt, doch niet de dienst waarbij met behulp van elektronische communicatienetwerken en -diensten overgebrachte inhoud wordt geleverd of redactioneel wordt gecontroleerd. […]107

106. Art. 1.1 sub e Tw. 107. Art. 1.1 sub f Tw.

45

Telecommunicatie

De technologieonafhankelijke formulering heeft ook gevolgen voor de reikwijdte van de wet. Voor de vraag of de wet van toepassing is op aanbieders van elektronische communicatiediensten is kortweg bepalend of er sprake is van overdracht van signalen, ongeacht het onderliggende netwerk. Ten aanzien van de toepasselijkheid van de Telecommunicatiewet voor aanbieders van elektronische netwerken geldt kortweg dat het gaat om transmissiesystemen die het mogelijk maken om signalen over te brengen. Bevorderen van de concurrentie Bij de regulering van de elektronische communicatiesector speelt het bevorderen van daadwerkelijke concurrentie op de te onderscheiden relevante markten een belangrijke rol. Om te bevorderen dat markten concurrerend worden kan het college van de Onafhankelijke Post en Telecommunicatie Autoriteit (hierna: OPTA) – als toezichthouder op de elektronische communicatiesector – bepaalde verplichtingen opleggen. Deze verplichtingen kunnen alleen worden opgelegd aan een aanbieder met een aanmerkelijke marktmacht. Om te kunnen bepalen of er sprake is van een aanbieder met aanmerkelijke marktmacht wordt aangesloten bij de algemene mededingingsregels. Dit houdt in dat OPTA eerst de relevante producten geografische markt moet bepalen.108 Vervolgens wordt door OPTA bepaald of een of meerdere aanbieders aanmerkelijke marktmacht op de relevante markt hebben. Om te bepalen of er sprake is van aanmerkelijke marktmacht wordt aangesloten bij het begrip economische machtspositie uit de Mededingingswet. Op basis van deze wet is sprake van aanmerkelijke marktmacht in het geval een onderneming in staat is zich in belangrijke mate onafhankelijk van haar concurrenten en klanten te gedragen.109 Indien wordt beoordeeld dat er sprake is van een aanbieder met aanmerkelijke marktmacht moet vervolgens worden beoordeeld of het op deze relevante markt noodzakelijk is om maatregelen op te leggen, en zo ja welke maatregelen het evenwicht in de markt (weer) herstellen. Bij de op te leggen maatregelen staat de proportionaliteitseis centraal. De proportionaliteitseis houdt in dat geen tariefregulering kan worden opgelegd als het evenwicht op de relevante markt kan worden hersteld door bijvooreeld het bieden van toegang tot de netwerken van de aanbieder met aanmerkelijke marktmacht. De maatregelen die OPTA in het kader van de regulering van de aanmerkelijke marktmacht kan opleggen zijn: het voeren van een gescheiden boekhouding, het onder non-discriminatoire voorwaarden verlenen van interconnectie, het voldoen aan redelijke verzoeken voor bijzondere toegang en het hanteren van kostengeoriënteerde interconnectie- en eindgebruikertarieven.

108. Volgens de aanbeveling van de Europese Commissie, die achttien relevante markten onderscheidt. Zie aanbeveling van de Commissie van 11 februari 2003 betreffende relevante producten- en dienstenmarkten in de elektronische communicatiesector die overeenkomstig Richtlijn 2002/21/EG van het Europees Parlement en de Raad inzake een gemeenschappelijk regelgevingskader voor elektronische communicatienetwerken en -diensten aan regelgeving ex ante kunnen worden onderworpen, PbEG L 114/45. 109. Marktaandeel is een kwantitatieve indicator voor de aanwezigheid van marktmacht. Indien het marktaandeel maximaal 25% is, wordt aangenomen dat er geen machtspositie is. Indien het marktaandeel meer dan 50% is, is het uitgangspunt dat er sprake is van een machtspositie.

46

Telecommunicatie

Naast de maatregelen die OPTA kan opleggen aan een aanbieder met aanmerkelijke marktmacht kent de Telecommunicatiewet een aantal rechten en /of plichten die van toepassing kunnen zijn op iedere aanbieder van een openbare elektronische communicatiedienst – en/of netwerk. Voorbeelden van deze algemene rechten en/of plichten zijn: • de plicht aan OPTA mede te delen dat een elektronische communicatiedienst en/of – netwerk wordt aangeboden; • het recht om kabels ten dienste van elektronische communicatie netwerken en mantelbuizen in en op openbare gronden aan te leggen; • het recht en/of de plicht om te onderhandelen om eind – tot eindverbindingen tot stand te brengen; • de verplichtingen ter bescherming van de eindgebruikersbelangen; • de verplichte medewerking aan het aftappen of opnemen van openbare telecommunicatie; • de verplichting netwerken, diensten en persoonsgegevens te beveiligen.110 Eindgebruikersbelangen De wet beschermt ook de belangen van eindgebruikers. Eindgebruikers zijn natuurlijke personen of rechtspersonen die van een openbare elektronische communicatiedienst gebruikmaken of willen gaan maken.111 De verplichtingen verschillen per type aanbieder (bijvoorbeeld netwerk of dienst) en per type eindgebruiker (consument of zakelijke afnemer). In het algemeen kan bij de verplichtingen onderscheid worden gemaakt tussen de zogenaamde eindgebruikersverplichtingen en de informatieverplichtingen. De eindgebruikersverplichtingen hebben bijvoorbeeld betrekking op: • • • • • •

de plicht nummerportabiliteit te bieden;112 het opstellen van een jaarlijkse kwaliteitsrapportage; het bieden van toegang tot het algemene alarmnummer 112; de beveiliging van persoonsgegevens; het bieden van een gespecificeerde rekening; de aansluiting bij de Stichting Geschillencommissie Consumentenzaken.

De informatieverplichtingen hebben bijvoorbeeld betrekking op: • De plicht tot informatieverstrekking voor of bij het sluiten van de overeenkomst over de kwaliteitsniveaus van de dienst, de geldende tariefstructuur, de duur van de overeenkomst en de voorwaarden waaronder de overeenkomst wordt gesloten.

110. Zie art. 11.2 en 11.3 Tw. 111. En die niet tevens openbare elektronische communicatienetwerken of openbare elektronische communicatiediensten aanbiedt. Zie art. 1.1 sub o Tw. 112. De mogelijkheid een (telefoon)nummer bij verandering van aanbieder te behouden.

47

Telecommunicatie

• Het informeren over een voorgenomen wijziging van de algemene voorwaarden en het recht om de overeenkomst in dit geval tussentijds en kosteloos op te zeggen; • De informatieverstrekking over de zogenaamde bijzondere beveiligingsrisico’s, de middelen die hiervoor ter bescherming kunnen worden ingezet en een kostenindicatie voor deze in te zetten middelen. Bij bijzondere beveiligingsrisico’s kan worden gedacht aan de verschillende vormen van computercriminaliteit zoals hacking, Trojans, (d)DoS attacks en spam. • De specifieke informatieplicht – in aanvulling op de Wet bescherming persoonsgegevens – in relatie tot de verwerking van de verwerking van verkeersgegevens en locatiegegevens van abonnees. Bevoegdheden OPTA Zoals hierboven al is aangegeven is OPTA de toezichthouder voor de elektronische communicatiesector. Naast de specifieke bevoegdheden van OPTA die hierboven zijn aangegeven ter bevordering van de concurrentie op relevante markten, heeft OPTA in zijn algemeenheid een aantal instrumenten om invulling te kunnen geven aan dit toezicht: • het opleggen van een dwangsom ter naleving van een wettelijke verplichting; • het opleggen van een bestuurlijke boete in het geval er sprake is van overtreding van de Telecommunicatiewet; • het vorderen van informatie voorzover dit redelijkerwijs noodzakelijk is voor de uitoefening van zijn taak. Om de rechten en plichten van aanbieders van openbare elektronische diensten en/of -netwerken te kunnen waarborgen is ook de bevoegdheid van OPTA om geschillen te beslechten van belang. Deze geschillenbeslechtingsbevoegdheid kan bijvoorbeeld door de aanbieders worden ingeroepen in het geval een geschil is ontstaan over de aanleg en instandhouding van kabels of over de toegang tot, en interconnectie van netwerken. Spam OPTA is ook verantwoordelijk voor de handhaving van het spamverbod. Spam is email van commerciële, ideële of charitatieve aard, die verstuurd wordt zonder voorafgaande toestemming van de ontvanger. Het spamverbod houdt in dat het niet meer is toegestaan om zonder voorafgaande toestemming commerciële e-mail te verzenden113, tenzij aan de volgende voorwaarden is voldaan: • de commerciële mail wordt gestuurd aan bestaande klanten; • de commerciële mail heeft betrekking op eigen gelijksoortige producten of diensten; • bij de verkrijging van de contactgegevens is aan de klant duidelijk en uitdrukkelijk de gelegenheid geboden om kosteloos en op gemakkelijke wijze verzet aan

113. In het jargon ook wel ‘opt-in’ genoemd.

48

Telecommunicatie

te tekenen tegen het gebruik van die elektronische contactgegevens; en • bij elke overgebrachte communicatie wordt de klant alsnog de mogelijkheid geboden om onder dezelfde voorwaarden verzet aan te tekenen tegen het verder gebruik van zijn elektronische contactgegevens. 9.2

Wet- en regelgeving

Nederland • Telecommunicatiewet • Besluit universele dienstverlening en eindgebruikersbelangen • Regeling universele dienstverlening en eindgebruikersbelangen • Besluit van 7 mei 2004, houdende wijziging van enkele algemene maatregelen van bestuur in verband met aanpassingen aan de Telecommunicatiewet • Besluit aftappen openbare telecommunicatienetwerken en diensten • Besluit interoperabiliteit • Besluit voorwaardelijke toegang • Mededingingswet Europa • Richtlijnen elektronische communicatie – Kaderrichtlijn 2002/21/EC, PbEG L 108/33 – Toegangsrichtlijn 2002/19/EC, PbEG L 108/7 – Universele dienstrichtlijn 2002/22/EC, PbEG L 108/51 – Machtigingsrichtlijn 2002/20/EG, PbEG L 108/21 – Privacy richtlijn 2002/58/EG, PbEG L 201/37 • Richtsnoeren EC – Aanbeveling betreffende relevante producten- en dienstenmarkten in de elektronische communicatiesector die aan regelgeving ex ante kunnen worden onderworpen (PbEG L 114/45) – Richtsnoeren voor de marktanalyse en de beoordeling van aanmerkelijke marktmacht in het bestek van het gemeenschappelijk regelgevingkader voor elektronische communicatienetwerken en -diensten (2002/C 165/03) 9.3


• E. van Geest, ‘Consequenties van de nieuwe Telecommunicatiewet en de Wet elektronische handel voor dienstenaanbieders’, Vertrouwen in ICT en internet: de spelers en hun verantwoordelijkheden, Artikelenbundel Duthler Associates (juni 2004). 9.4


• De definitiebepalingen van de Telecommunicatiewet hebben invloed op de verplichtingen die een aanbieder van de elektronische communicatiesector heeft • Invulling geven aan de eindgebruikersverplichtingen, waaronder de informatieverplichtingen

49

Telecommunicatie

9.5


• Gescheiden boekhouding voor het aanbieden van netwerken en diensten door een partij die door OPTA is aangewezen als partij met aanmerkelijke marktmacht • De informatieverstrekking over de zogenaamde bijzondere beveiligingsrisico’s • Beveiliging van persoonsgegevens

50

HOOFDSTUK 10

Vorderen gegevens

10.1

Toelichting

Naast de algemene vorderingsbevoegdheid van de diverse opsporingsinstanties bestaat er in Nederland voor twee sectoren specifieke wetgeving ten aanzien van het vorderen van (persoons)gegevens. Dit zijn de telecommunicatiesector en de financiële sector. Opsporingsinstanties hebben algemene bevoegdheden (persoons)gegevens te vorderen ter opsporing van strafbare feiten. In dit hoofdstuk wordt alleen ingegaan op de bevoegdheden tot het vorderen van gegevens in de hierboven genoemde sectoren. De bevoegdheden om gegevens te vorderen zijn met waarborgen omkleed om oneigenlijk gebruik te voorkomen.114 Zo kan in sommige gevallen alleen de Officier van Justitie gegevens vorderen. De opsporingsinstanties zullen bij de uitoefening van hun bevoegdheden telkens rekening moeten houden met de geldende waarborgen. Hieronder wordt voor beide sectoren aangegeven welke opsporingsinstanties onder welke voorwaarden bepaalde gegevens kunnen vorderen. Vorderen van gegevens door opsporingsinstanties in de telecommunicatiesector Er wordt bij het vorderen van gegevens in de telecommunicatiesector onderscheid gemaakt in het vorderen van gebruikersgegevens en het vorderen van verkeersgegevens. Onder gebruikersgegevens worden verstaan: • de naam, het adres en de woonplaats van de gebruiker; • de nummers van de gebruiker. Alle opsporingsambtenaren kunnen van deze bevoegdheid gebruikmaken als er sprake is van een verdenking van een misdrijf.115

114. De bevoegdheden van de opsporingsinstanties zijn opgenomen in afdeling 7 en 8 van Titel IVA van het Wetboek van Strafvordering. 115. De bevoegdheid tot het vorderen van gebruikersgegevens is opgenomen in art. 126na en 126ua van het Wetboek van Strafvordering.

51

Vorderen gegevens

Onder verkeersgegevens worden verstaan:116 • de naam, het adres en de woonplaats van de gebruiker; • de nummers van de gebruiker; • de naam, het adres, de woonplaats en het nummer van de natuurlijke persoon of rechtspersoon met wie de gebruiker verbinding heeft, heeft gehad of heeft getracht tot stand te brengen, of van de natuurlijke persoon of rechtspersoon die heeft getracht met de gebruiker verbinding tot stand te brengen; • de datum en het tijdstip waarop de verbinding met de gebruiker tot stand is gebracht en beëindigd en de duur van de verbinding, dan wel, ingeval er geen verbinding tot stand is gekomen, de datum en het tijdstip waarop is getracht verbinding met de gebruiker tot stand te brengen, alsmede de afwijking van dit tijdstip van de wettelijke tijd117; • de locatiegegevens van het netwerkaansluitpunt dan wel gegevens betreffende de geografische positie van de randapparatuur van een gebruiker ingeval van een verbinding of poging daartoe; • de nummers van de randapparatuur waarvan de gebruiker gebruikmaakt of heeft gemaakt; • de soorten diensten waarvan de gebruiker gebruikmaakt of heeft gemaakt evenals de daarbij behorende gegevens; • de naam, het adres en de woonplaats van degene die de rekening betaalt voor de openbare telecommunicatiediensten en telecommunicatienetwerken die de gebruiker ter beschikking heeft of heeft gehad, indien deze een ander is dan de gebruiker. Alleen de Officier van Justitie kan verkeersgegevens vorderen als er een verdenking bestaat van een misdrijf waarop voorlopige hechtenis is toegestaan.118 In het algemeen geldt dat het moet gaan om misdrijven waarop een maximale gevangenisstraf van vier jaar of meer staat. De verkeersgegevens die worden gevorderd kunnen bekende gegevens of toekomstige gegevens betreffen. Vorderen van gegevens door inlichtingen- en veiligheidsdiensten in de telecommunicatiesector De Algemene Inlichtingen en Veiligheidsdienst (AIVD ) en de Militaire Inlichtingen en Veiligheidsdienst (MIVD) hebben op grond van de Wet op de inlichtingen- en veiligheidsdiensten 2002 (WIV 2002) vergelijkbare bevoegdheden als opsporingsambtenaren en Officieren van Justitie.

116. Zie ook Besluit vorderen gegevens telecommunicatie, Stb. 2004, 394. 117. Als bedoeld in art. 1 lid 1 wet van 16 juli 1958 tot nadere regeling van de wettelijke tijd (Stb. 352). 118. De bevoegdheid tot het vorderen van verkeersgegevens is opgenomen in art. 126n en 126u Wetboek van Strafvordering.

52

Vorderen gegevens

De opsporingsambtenaar kan door of namens het hoofd van de AIVD of MIVD gebruikersgegevens vorderen.119 De opsporingsambtenaar moet zich dan wel kunnen legitimeren. Het verzoek kan alleen betrekking hebben op de volgende gegevens: • het nummer; • naam, adres en woonplaats die zijn gekoppeld aan het nummer. Door het hoofd van de AIVD of de MIVD kunnen vanaf 2002 verkeersgegevens worden gevorderd.120 Het verzoek moet schriftelijk zijn en worden aangeboden door een ambtenaar die zich moet kunnen legitimeren. Het verzoek kan alleen betrekking hebben op de volgende gegevens: • • • •

het nummer; naam, adres en woonplaats die zijn gekoppeld aan het nummer; omschrijving van de gegevens; periode waarover de gegevens moeten worden verstrekt.

Vorderen van gegevens in de financiële sector Net als voor de telecommunicatiesector bestaat voor de financiële sector bijzondere wetgeving op grond waarop opsporingsinstanties gegevens kunnen vorderen. In het geval van de financiële sector wordt onderscheid gemaakt tussen identificerende gegevens en overige gegevens. Een opsporingsambtenaar kan, in geval van verdenking van een misdrijf, eenieder die beroeps- of bedrijfsmatig een financiële dienst verleent, vorderen bepaalde identificerende gegevens te verstrekken.121 De schriftelijke vordering kan alleen betrekking hebben op de volgende identificerende gegevens: • • • •

naam, adres, woonplaats en postadres; geboortedatum en geslacht; rekeningnummers en andere administratieve kenmerken; in geval van een rechtspersoon, in plaats van NAW-gegevens, postadres, geboortedatum en geslacht de rechtsvorm en de vestigingsplaats.

Een Officier van Justitie kan, in geval van verdenking van een misdrijf waarop voorlopige hechtenis is toegestaan eenieder die beroeps- of bedrijfsmatig een financiële dienst verleent vorderen alle gegevens te verstrekken.122 De vordering moet schriftelijk worden gedaan. Het kan gaan om alle gegevens met uitzondering van persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven of lidmaatschap van een vakvereniging.

119. 120. 121. 122.

Op grond van art. 29 WIV 2002. Op grond van art. 28 WIV. Op grond van art. 126nc en 126 uc Sv. Op grond van art. 126nd, 126ne, 126nf, 126ud, 126ue en 126uf Sv.

53

Vorderen gegevens

Zowel reeds bestaande als toekomstige gegevens kunnen onderwerp zijn van de vordering. Vorderen van gegevens door toezichthouders telecommunicatie en financiële sector Ook toezichthouders kunnen gegevens vorderen. Voor de telecommunicatiesector is dit de Onafhankelijke Post en Telecommunicatie Autoriteit (OPTA), voor de financiële sector zijn dit De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM). De toezichthouders hebben bevoegdheden om inlichtingen en zakelijke gegevens en bescheiden te vorderen.123 Deze bevoegdheden zijn in specifieke wetgeving vastgelegd.124 Organisaties die te maken krijgen met een toezichthouder moeten aan een vordering meewerken. Wetsvoorstel vorderen gegevens Op het moment van schrijven ligt een wetsvoorstel voor, waarin de bevoegdheden van opsporingsinstanties om gegevens te vorderen sterk wordt uitgebreid.125 Als het wetsvoorstel onveranderd tot wet wordt, zullen de specifieke bepalingen over het vorderen van gegevens in de financiële sector worden vervangen door bepalingen met algemene gelding. De bevoegdheden zullen dan niet alleen gelden ten aanzien van financiële instellingen, maar worden uitgebreid tot alle organisaties in Nederland. Daarnaast wordt de reikwijdte van de bevoegdheden verbreed. Zo kan de vordering niet alleen gericht zijn op bestaande, maar ook op toekomstige gegevens. Als dit wetsvoorstel onveranderd tot wet wordt is het voor elke organisatie aan te bevelen de gegevenshuishouding zo zorgvuldig en effectief mogelijk in te richten om tijdig aan een vordering tot het verstrekken van gegevens te kunnen voldoen. Ook het opstellen van bijbehorende procedures kan bijdragen aan een zorgvuldige en snelle afhandeling. 10.2

Wet- en regelgeving

Nederland • Wetboek van Strafvordering • Telecommunicatiewet • Algemene wet bestuursrecht • Wet op de Inlichtingen en Veiligheidsdiensten 2002 • Wetsvoorstel bevoegdheden vorderen gegevens

123. I.e. Art. 5:12, 5:13, 5:15, 5:16, 5:17 en 5:20 Algemene wet bestuursrecht. 124. De bevoegdheden van OPTA zijn in de Telecommunicatiewet vastgelegd. De bevoegdheden voor de toezichthouders in de financiële sector kunnen onder andere in de Wet toezicht beleggingsinstellingen en de Wet toezicht effectenverkeer 1995 worden teruggevonden. 125. Zie ook Kamerstukken II 2004, 29 441.

54

Vorderen gegevens

10.3


• E.C. Mac Gillavry, ‘Meewerken aan strafvordering door banken en Internet Service Providers’, Deventer: Gouda Quint, 2000. • F.H. Koppejan, Het juridisch kader voor het vorderen van gegevens, ‘Vertrouwen in ICT en internet: de spelers en hun verantwoordelijkheden’, Den Haag: Koninklijke de Swart, 2004. 10.4


• Inrichten procedures voor zorgvuldige medewerking aan vorderingen van gegevens • Zorgdragen voor de rechtmatige verstrekking van gegevens op grond van de vordering 10.5


• Controle uitoefenen op de interne procedures ten behoeve van een zorgvuldige medewerking aan vorderingen van gegevens als deze gedeeltelijk geautomatiseerd plaatsvindt • Aangeven op welke wijze de gegevens zijn verkregen en worden verwerkt • Aangeven in hoeverre de organisatie in staat is gevorderde gegevens tijdig, juist en volledig te kunnen aanleveren

55

HOOFDSTUK 11

Informatiebeveiliging

11.1

Toelichting

Het zorgvuldig omgaan met gegevens en/of informatiesystemen is een randvoorwaarde die veelvuldig in weten regelgeving is terug te vinden. Dit hoofdstuk bevat in hoofdzaak een opsomming van eisen op het gebied van informatiebeveiligingen die voortvloeien uit weten regelgeving. Een aantal van de informatiebeveiligingseisen (voor de Rijksoverheid) vloeit voort uit het Voorschrift Informatiebeveiliging Rijksdienst (VIR). Het VIR definieert informatiebeveiliging als volgt: ‘Het treffen en onderhouden van een samenhangend pakket van maatregelen ter waarborging van de beschikbaarheid126, integriteit127 en exclusiviteit128 van een informatiesysteem en daarmee van de informatie daarin.’ Wet- en regelgeving binnen het domein IT en recht De volgende informatiebeveiligingseisen vloeien voort uit de wetten en regels die in de overige hoofdstukken van deze uitgave zijn beschreven.

Wet- en regelgeving

Eisen op het gebied van informatiebeveiliging

Wet computercriminaliteit I (Wetboek van Strafrecht)

Art. 138a lid 1 sub a Dit artikel beschrijft dat ‘enige beveiliging’ doorbroken moet worden wil er sprake zijn van computervredebreuk, hetgeen strafbaar is.

Wet elektronisch bestuurlijk verkeer

Art. 2:14 lid 3 Dit artikel beschrijft dat indien een bestuursorgaan een bericht elektronisch verzendt, dit geschiedt op een voldoende betrouwbare en vertrouwelijke manier, gelet op de aard en de inhoud van het bericht en het doel waarvoor het wordt gebruikt.

126. Beschikbaarheid: de mate waarin een informatiesysteem in bedrijf is op het moment dat de organisatie het nodig heeft. 127. Integriteit: de mate waarin een informatiesysteem zonder fouten is. 128. Exclusiviteit: de mate waarin de toegang tot en de kennisname van een informatiesysteem en de informatie daarin is beperkt tot een gedefinieerde groep van gerechtigden.

57


Wet- en regelgeving

Eisen op het gebied van informatiebeveiliging Art. 2:15 lid 3 Dit artikel beschrijft dat een bestuursorgaan een elektronisch verzonden bericht kan weigeren voorzover de betrouwbaarheid of vertrouwelijkheid van dit bericht onvoldoende is gewaarborgd, gelet op de aard en de inhoud van het bericht en het doel waarvoor het wordt gebruikt. Art. 2:16 Dit artikel beschrijft dat aan het vereiste van ondertekening is voldaan door een elektronische handtekening, indien de methode die daarbij voor authentificatie is gebruikt voldoende betrouwbaar is, gelet op de aard en de inhoud van het elektronische bericht en het doel waarvoor het wordt gebruikt.129

Besluit elektronische handtekeningen

Art. 2 Dit artikel beschrijft (betrouwbaarheids)eisen aan de certificatiedienstverlener. Art. 5 Dit artikel beschrijft de eisen die worden gesteld aan een ‘veilig middel’ voor het aanmaken van elektronische handtekeningen.

Auteurswet

Art. 29a Dit artikel gaat in op technische voorzieningen ten aanzien van het ‘beschermen’ van auteursrechtelijk beschermde werken en de onrechtmatigheid van het omzeilen van dergelijke voorzieningen.

Wet bescherming persoonsgegevens

Art. 13 Dit artikel eist passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Zie ook paragraaf 11.2. Art. 14 Dit artikel stelt (beveiligings)eisen aan externe bewerkers van persoonsgegevens.

Telecommunicatiewet

Art. 11.3 Dit artikel eist passende technische en organisatorische maatregelen ten behoeve van de veiligheid en beveiliging van de aangeboden netwerken en diensten. Tevens moeten abonnees van telecommunicatiediensten worden geïnformeerd over risico’s en maatregelen met betrekking tot veiligheid en beveiliging.

Besluit beveiliging gegevens aftappen telecommunicatie

Dit besluit stelt eisen aan de beveiliging van gegevens die zijn afgetapt of worden opgenomen door aanbieders van openbare telecommunicatienetwerken of openbare telecommunicatiediensten.

129. Art. 15a, tweede tot en met zesde lid, en 15b Boek 3 van het Burgerlijk Wetboek zijn van overeenkomstige toepassing, voorzover de aard van het bericht zich daartegen niet verzet. Bij wettelijk voorschrift kunnen aanvullende eisen worden gesteld.

58


Wet- en regelgeving buiten het domein van IT en recht De volgende informatiebeveiligingseisen vloeien voort uit de wetten en regels die niet in de overige hoofdstukken van deze uitgave zijn beschreven. Onderstaande opsomming is niet uitputtend.

Wet- en regelgeving


Voorschrift Informatiebeveiliging Rijksdienst (VIR)

Het VIR schrijft (in hoofdlijnen) voor hoe overheidsorganisaties die tot de Rijksdienst worden gerekend hun informatiebeveiliging moeten aanpakken.

Voorschrift Informatiebeveiliging Rijksdienst – Bijzondere Informatie (Vir-bi)

In aanvulling op het VIR bevat het Vir-bi regels voor de beveiliging van bijzondere informatie bij de Rijksdienst. Deze regels strekken er toe het aantal personen dat met bijzondere informatie in aanraking komt zo beperkt mogelijk te houden. Daarnaast is het van belang dat zo spoedig mogelijk actie wordt ondernomen bij kennisname door niet gerechtigden.

Code voor Informatiebeveiliging (CvIB), ook wel BS 7799, waarvan deel 1 is overgenomen als de ISO standaard ISO/IEC17799

Hoewel de CvIB strikt genomen geen weten regelgeving130 is, zijn de informatiebeveiligingseisen van veel organisaties afgeleid van de code, waarmee de CvIB als best practice aanpak voor informatiebeveiliging kan worden beschouwd.

Comptabiliteitswet

De comptabiliteitswet ziet op de wijze waarop de financiën van het Rijk beheerd dienen te worden. Adequate beveiliging van de informatie aangaande de financiën is daarbij noodzakelijk.

Wet openbaarheid van bestuur (WOB)

De Wet openbaarheid van bestuur ziet op het verstrekken van informatie over bestuurlijke aangelegenheden. De WOB bevat daartoe verplichtingen voor bestuursorganen over de wijze waarop informatieverstrekking dient plaats te vinden. Adequate informatiebeveiliging is noodzakelijk om tijdig de juiste informatie te kunnen opleveren.

Wet gemeentelijke basisadministratie persoonsgegevens (Wet GBA)

Art. 134 Dit artikel beschrijft dat bij of krachtens algemene maatregel van bestuur regels kunnen worden gesteld omtrent de technische en administratieve inrichting en werking en de beveiliging van de basisadministratie. Art. 135 Dit artikel beschrijft dat bij of krachtens algemene maatregel van bestuur regels gesteld kunnen worden omtrent de aanleg, de instandhouding en de werking van voorzieningen ten behoeve van de overdracht van berichten.

130. De Code is beschikbaar via het Nederlands Normalisatie-instituut.

59


Wet- en regelgeving


Besluit gemeentelijke basisadministratie persoonsgegevens (Besluit GBA)

Art. 31 Dit artikel eist dat de verantwoordelijke voor de verwerking van gegevens in een basisadministratie zorgdraagt voor de nodige voorzieningen van technische en organisatorische aard ter beveiliging van de in de basisadministratie vermelde gegevens tegen verlies of aantasting van deze gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking van deze gegevens. Art. 53 Dit artikel stelt eisen aan (externe) bewerker(s) die worden ingezet ten behoeve van de GBA. Art. 66c Dit artikel eist dat de Minister van Binnenlandse Zaken zorgdraagt voor de nodige voorzieningen van technische en organisatorische aard ter beveiliging van de in de landelijk raadpleegbare deelverzameling (LRD) opgenomen gegevens tegen verlies of aantasting van deze gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking van deze gegevens. Art. 71 Dit artikel eist dat de verantwoordelijke voor de verwerking van gegevens in het vestigingsregister zorgdraagt dat het geautomatiseerde systeem van het vestigingsregister in overeenstemming is met de systeembeschrijving en geautomatiseerd berichten over het netwerk verzendt en ontvangt. Art. 89 Dit artikel beschrijft dat de Minister van Binnenlandse Zaken regels kan stellen omtrent de technische en administratieve inrichting en werking en de beveiliging van de basisadministratie.

Regeling gemeentelijke basisadministratie persoonsgegevens (Regeling GBA)

De regeling GBA heeft voor een belangrijk deel betrekking op het netwerk (technische infrastructuur), en de beveilingsapecten daarvan, dat wordt ingezet ten behoeve van de GBA.

Wet politieregisters131

Art. 7 Dit artikel eist dat de beheerder van het politieregister zorgdraagt voor de nodige voorzieningen van technische en organisatorische aard ter beveiliging van het register tegen verlies of aantasting van de gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking daarvan.

131. Er is een nieuwe wet in voorbereiding, de Wet politiegegevens, die de Wet politieregisters moet gaan vervangen. Deze nieuwe wet zal naar verwachting eisen ten aanzien van informatiebeveiliging bevatten die vergelijkbaar zijn met de huidige wet.

60


Wet- en regelgeving


Wet op de inlichtingen- en veiligheidsdiensten

Deze wet beschrijft dat inlichtingen- en veiligheidsdiensten taken hebben ten aanzien van het bevorderen van maatregelen ter beveiliging van gegevens waarvan de geheimhouding door de nationale veiligheid wordt geboden en de nodige voorzieningen ter bevordering van de juistheid en de volledigheid van de gegevens die worden verwerkt. [Zie ondermeer de volgende artikelen 6, 7, 15, 16].

11.2


Ten behoeve van elektronische handtekeningen zijn tal van kaders beschikbaar voor het vaststellen van de betrouwbaarheid van elektronische handtekeningen of dienstverlening ten behoeve van elektronische handtekeningen, ondermeer op het gebied van Public Key Infrastructure (PKI). Voorbeelden zijn: • • • • •

ETSI 101 456 v1.2.1 (2002-4) ETSI 101 456 v1.1.1 (2000-12) ETSI 101 733 v1.3.1 (2002-2) ETSI 101 862 v1.2.1 (2001-06) ETSI 102 042 v1.1.1 (2002-04)

Het College Bescherming Persoonsgegevens (CBP), belast met de taak toe te zien op de verwerking van persoonsgegevens overeenkomstig de Wbp, heeft ‘Achtergrond Studies & Verkenningen 23: Beveiliging van persoonsgegevens’ (hierna: studierapport 23), uitgegeven. Studierapport 23 werkt het begrip ‘passende technische en organisatorische maatregelen’ nader uit.132 11.3


Het Voorschrift Informatiebeveiliging Rijksdienst (VIR) schetst een verdeling van verantwoordelijkheden binnen de Rijksoverheid. Deze verdeling van verantwoordelijkheden is tevens indicatief voor andere organisaties. Het VIR schrijft voor dat het management verantwoordelijk is voor het vaststellen van het informatiebeveiligingsbeleid. Hiermee beschrijft het management het ambitieniveau inzake informatiebeveiliging. Het is aan het lijnmanagement om risicoanalyses uit te voeren en passende maatregelen te treffen om daarmee het risico van informatiebeveiligingsincidenten in lijn te brengen met ambitieniveau van dat management. Het is aan het management om na te (laten) gaan dat het ambitieniveau ook daadwerkelijk wordt bereikt.

132. Studierapport 23 heeft met name betrekking op exclusiviteit van persoonsgegevens.

61


11.4


• Het gehele gebied van informatiebeveiliging is van belang voor de IT-auditor

62

HOOFDSTUK 12

Bewaring

12.1

Toelichting

Op grond van wettelijke regels is het in sommige gevallen verplicht gegevens gedurende bepaalde tijd te bewaren. In andere gevallen, bijvoorbeeld bij het bewaren van persoonsgegevens is het soms niet toegestaan gegevens langer dan een bepaalde duur te bewaren. Hieronder wordt een overzicht gegeven van enige wettelijke bepalingen over het bewaren van gegevens. Waar het niet toegestaan is persoonsgegevens te bewaren geldt dit, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht. De wettelijke bewaarplicht gaat in dat geval voor. Een dergelijke bewaarplicht kan bijvoorbeeld uit de Archiefwet volgen.133

Algemeen Vindplaats

Art.

Inhoud

Duur

Burgerlijk Wetboek

2:10

De tot de administratie behorende boeken, bescheiden en andere gegevensdragers (de financiële administratie).

7 jaar

2:24

De boeken, bescheiden en andere gegevensdragers van een ontbonden rechtspersoon.

7 jaar

Algemene Wet 52 Rijksbelastingen lid 4

De tot de administratie behorende boeken, bescheiden en andere gegevensdragers (de financiële administratie).

7 jaar

Archiefwet

De overheidsorganen zijn verplicht de onder hen berustende archiefbescheiden in goede, geordende en toegankelijke staat te brengen en te bewaren, alsmede zorg te dragen voor de vernietiging van de daarvoor in aanmerking komende archiefbescheiden.

In selectielijst, waarin tenminste wordt aangegeven welke archiefbescheiden voor vernietiging in aanmerking komen.

De informatie wordt bewaard gedurende ten minste vier jaar na de datum waarop de opdracht is gegund, opdat de aanbestedende dienst gedurende dit tijdsbestek aan de Commissie de noodzakelijke inlichtingen kan verstrekken, indien deze daarom verzoekt.

4 jaar

5 lid 1

Richtlijn over41 heidsopdrachten lid 2 in de Nutssector

133. Zie ook art. 2a Archiefwet.

63

Bewaring

Algemeen Vindplaats

Art.

Telecommuni13.4 catiewet, Besluit bijzondere vergaring nummergegevens telecommunicatie

Inhoud

Duur

Locatiegegevens, nummergegevens, verkeers- 3 maanden gegevens, pre-paid telefonie en andere gevallen waarin het nummergegeven niet bij de aanbieder bekend is, bijvoorbeeld in geval het een buitenlands nummer betreft of in geval van roaming. Dat is de situatie waarin dekking van het eigen netwerk ontbreekt en het netwerk van een andere aanbieder gebruikt wordt.

Persoonsgegevens Vindplaats

Art.

Inhoud

Duur

Wet bescherming persoonsgegevens

10

Persoonsgegevens

Niet langer dan noodzakelijk.

Vrijstellingsbesluit Wbp

3

Verenigingen, stichtingen en publiekrechtelijke beroepsorganisaties

Uiterlijk twee jaar nadat het lidmaatschap is beëindigd of de betrokkene te kennen heeft gegeven dat hij niet langer als begunstiger wil worden beschouwd.

4

Genootschappen op geestelijke grondslag

Uiterlijk twee jaar nadat het lidmaatschap of het contact met het betrokken gezinslid is beëindigd, dan wel de betrokkene te kennen heeft gegeven dat hij niet langer als begunstiger wil worden beschouwd.

5

Sollicitanten

De persoonsgegevens worden verwijderd op een daartoe strekkend verzoek van betrokkene en in ieder geval uiterlijk vier weken nadat de sollicitatieprocedure is geëindigd, tenzij de persoonsgegevens met toestemming van de betrokkene gedurende een jaar na beëindiging van de sollicitatieprocedure worden bewaard.

6

Uitzendkrachten

Uiterlijk twee jaar na de dag van inschrijving dan wel na de dag waarop betrokkene voor het laatst op grond van de inschrijving werkzaam is geweest

7

Personeelsadministratie

Uiterlijk twee jaar nadat het dienstverband of de werkzaamheden van de betrokkene ten behoeve van de verantwoordelijke zijn beëindigd.

64

Bewaring


Art.

Inhoud

Duur

8

Salarisadministratie

Uiterlijk twee jaar nadat het dienstverband of de werkzaamheden van de betrokkene ten behoeve van de verantwoordelijke zijn beëindigd.

9

Uitkering bij ontslag

Verwijderd uiterlijk twee jaar nadat de aanspraken zijn beëindigd.

10

Pensioen en vervroegde uittreding

Uiterlijk twee jaar nadat de aanspraak is beëindigd.

11

Abonnementen

Uiterlijk twee jaar na de beëindiging van het abonnement.

12

Debiteuren en crediteuren

Uiterlijk twee jaar nadat de desbetreffende vordering is voldaan.

13

Afnemers en leveranciers

Uiterlijk twee jaar nadat de desbetreffende transactie is afgehandeld.

14

Huur en verhuur

Uiterlijk twee jaar nadat de huur is geëindigd, met dien verstande dat de gegevens met betrekking tot de aanvraag en verstrekking van huursubsidie worden verwijderd uiterlijk vijf jaar nadat de huursubsidie is geëindigd.

15

Juridische dienstverleners en accountantspersoonsgegevens

Duur in gedrags- en beroepsregels, zo niet uiterlijk twee jaar na de beëindiging van de behandeling van de zaak, de uitvoering van de controle of de beslechting van het geschil.

16

Individuele gezondheidszorg

Uiterlijk vijf jaar nadat de verlening van zorg is geëindigd.

17

Verzorgingshuizen en verpleeghuizen

Uiterlijk vijf jaar nadat de verlening van zorg is geëindigd.

18

Kinderopvang

Uiterlijk twee jaar nadat de opvang is beëindigd.

19

Leerlingen, deelnemers en studenten

Uiterlijk twee jaar nadat de studie is beëindigd.

20

Leerplicht

Uiterlijk twee jaar nadat de leerplicht is geëindigd.

21

Leerlingenvervoer

Uiterlijk twee jaar na afloop van het schooljaar waarop de verstrekking van de vergoeding betrekking heeft.

65

Bewaring


66

Art.

Inhoud

Duur

22

Overheid, Vergunning en melding

Uiterlijk twee jaar nadat het betrokken verzoek om verlening van een vergunning, ontheffing of machtiging door de betrokkene is ingetrokken, de desbetreffende vergunning, ontheffing of machtiging is ingetrokken of de geldigheidsduur daarvan is verlopen, dan wel de desbetreffende verplichting tot melding is vervallen.

23

Overheid, Decentrale belastingen

Uiterlijk tien jaar nadat de desbetreffende vordering is voldaan.

24

Overheid, Reisdocumenten

Uiterlijk vijf jaar nadat het afgegeven reisdocument is ingeleverd of ongeldig is geworden of na het overlijden van betrokkene.

25

Overheid, Graafrechten Uiterlijk twee jaar nadat op het verzoek tot geslachtsnaamwijziging is beslist.

26

Overheid, Naturalisatie

Uiterlijk twee jaar na de afwijzing van het verzoek.

27

Overheid, Naamswijziging

Uiterlijk twee jaar nadat op het verzoek tot geslachtsnaamwijziging is beslist.

28

Overheid, Dienstplicht

Uiterlijk twee jaar nadat betrokkene niet meer is ingeschreven voor de dienstplicht als bedoeld in de Kaderwet dienstplicht.

29

Archieven en onderzoek. Archiefbestemming

De persoonsgegevens worden verwijderd zodra zij hun belang voor de archiefbestemming hebben verloren.

30

Wetenschappelijk onderzoek en statistiek

Uiterlijk zes maanden nadat de gegevens omtrent de betrokkene zijn verkregen, met uitzondering van geslacht, woonplaats en geboortejaar.

31

Documentenbeheer

Uiterlijk vijf jaar nadat de betrokken gegevens werden opgenomen.

32

Netwerksystemen

Uiterlijk zes maanden nadat zij zijn verkregen dan wel twee jaar nadat het dienstverband of de werkzaamheden van betrokkene ten behoeve van de verantwoordelijke zijn beëindigd.

33

Computersystemen

Uiterlijk zes maanden nadat zij zijn verkregen.

Bewaring


12.2

Art.

Inhoud

Duur

34

Communicatieapparatuur

Uiterlijk zes maanden nadat zij zijn verkregen.

35

Toegangscontrole

Uiterlijk zes maanden nadat het recht op toegang van betrokkene is vervallen.

36

Overig intern beheer

Uiterlijk zes maanden nadat de betrokkene de organisatie van de verantwoordelijke heeft verlaten of diens werkzaamheden ten behoeve van de organisatie heeft beëindigd.

37

Bezoekersregistratie

Uiterlijk zes maanden na de datum van het bezoek.

38

Videocameratoezicht

Uiterlijk 24 uren nadat de opnamen zijn gemaakt, dan wel na afhandeling van de geconstateerde incidenten.

39

Bezwaarschriften, klachten en gerechtelijke procedures

Uiterlijk twee jaar nadat het bezwaarschrift, de klacht of de gerechtelijke procedure is afgehandeld.

40

Registers en lijsten

Uiterlijk twee jaar nadat de betrokken hoedanigheid is vervallen, de gewenste hoedanigheid is verkregen of de gewenste prestatie is geleverd.

41

Oud-leden en oudleerlingen

De persoonsgegevens worden verwijderd op een daartoe strekkend verzoek van de betrokkene of bij diens overlijden.

42

Communicatiebestanden

De persoonsgegevens worden verwijderd op verzoek van betrokkene of uiterlijk één jaar nadat de relatie tussen betrokkene en de organisatie van de verantwoordelijke is verbroken.


• Bewaartermijnen in een bedrijfsarchief, Publicatie uitgegeven door de Nederlandse Vereniging van Bedrijfsarchivarissen. 12.3

Aandachtpunten voor management

• Lang genoeg bewaren van gegevens • Tijdig vernietigen van gegevens

67

Bewaring

12.4

Aandachtpunten voor de IT-auditor

• Controleren geschiktheid gegevensdragers • Controle op vernietiging persoonsgegevens • Controleren bewaartermijnen

68

TER AFSLUITING

Het IT-recht bestrijkt vele onderwerpen. In deze publicatie zijn belangrijke onderwerpen aan de orde gekomen. De IT-auditor kan tijdens zijn werkzaamheden veel van deze onderwerpen tegenkomen en in zijn relatie met de cliënt zijn natuurlijke signaleringsfunctie vervullen. Ook zal hij zijn onderzoek kunnen baseren op de wettelijke verplichtingen bepaalde gegevens of informatiestromen te beveiligen of te bewaren. Daarnaast zal hij in zijn onderzoek de rechtmatigheid van informatie-uitwisseling kunnen betrekken. De IT-auditor zou kunnen overwegen om de resultaten van de bevindingen op juridisch gebied neer te leggen in een aparte paragraaf ‘juridische aspecten’ van een management letter. Uiteraard hangt dit af van de scope en omvang van het onderzoek en de wensen van de cliënt.

69

IT-REcht in vogelvlucht

Recommend Documents