ICTRecht in de praktijk

04 - december 2014

ICTRecht in de praktijk Hoe verkrijgt u de auteursrechten op bestelde software? Wie is verantwoordelijk voor het maken van back-ups? Online kansspelen: verandering van beleid en wetgeving Nieuwe regels voor het rekenen van btw aan buitenlandse consumenten

Wat speelt er bij DUWO? Internetrechtspraak Terugblik: 10 jaar ICTRecht Trainingsprogramma ICTRecht - 1

Heeft u uw juridische zaken goed geregeld?

Zeker op het gebied van ICT is dit geen eenvoudige zaak. Voorkom juridische ICT-problemen en laat ICTRecht u deskundig en praktisch adviseren. Dat hoeft helemaal niet duur te zijn: naast maatwerk leveren wij standaardproducten en juridische generatoren. ICTRecht is een flexibel en creatief juridisch adviesbureau. Wij bedienen zowel de grote als de kleine klant. Onze adviezen zijn begrijpelijk, concreet en geven blijk van technische kennis.Onze mensen zijn dan ook juridisch en technisch thuis in onze niche.

Wij kunnen u van dienst zijn met: Juridische documenten - Juridisch advies Trainingen - Generatoren - Boeken

ICTRecht bestaat 10 jaar Op 11 november 2004 werd ICTRecht voor het eerst ingeschreven bij de Kamer van Koophandel. Om dit heugelijke feit te vieren, stond de maand november bij ICTRecht in het teken van dit jubileum.

Meer informatie over hoe werken?Bezoek Bezoek ictrecht.nl. Meerwij informatie? ictrecht.nl

Index

Directie Arnoud Engelfriet en Steven Ras Hoe oud is uw recentste backup? Hopelijk meer dan tien jaar. Wij hebben geen back­ ups meer van de website van tien jaar geleden, maar kunnen wel aan de hand van de Kamer van Koophandel bewijzen dat we tien jaar geleden opgericht zijn. Graag staan we daar kort bij stil in dit nummer.

Hoe verkrijgt u de auteursrechten op bestelde software? 4 Wet- en regelgeving 8 Wanneer begint de aansprakelijkheid van een leverancier? 10 Online kansspelen: verandering van beleid en wetgeving 12 Terugblik: tien jaar ICTRecht 15 Wat speelt er bij DUWO? 16 Wie is verantwoordelijk voor het maken van back-ups? 18 Internetrechtspraak 23 Recht te worden vergeten? 29 Nieuwe regels voor het rekenen van btw aan buitenlandse consumenten 31 Trainingsprogramma 2015 34

Colofon Dit is een uitgave van ICTRecht B.V., Sarphatistraat 610-612, 1018 AV,

In dit nummer leest u verder over hoe auteursrecht te verkrijgen als u maat­werk­ software laat ontwikkelen. Ook belangrijk zijn de nieuwe regels omtrent online kansspelen en de nieuwe regels voor rekenen met btw. Beiden zullen in 2015 van kracht worden, en met name de nieuwe btw-regels zullen nog een hele kluif worden om in een bedrijf te implementeren.

Amsterdam, 020-6631941, [email protected]. Dit tijdschrift verschijnt vier keer per jaar. Proeftijdschrift is op aanvraag beschikbaar. Abonnementsprijs is € 135,- per jaar, inclusief verzendkosten in Nederland. Aan deze uitgave werkten mee: Arnoud Engelfriet - auteur - [email protected] Steven Ras - auteur - [email protected] Itte Overing - auteur - [email protected] Maaike Lassche - auteur - [email protected] Niels Winters - auteur - [email protected]

En wederom vindt u een overzicht van rechtspraak en te verwachten wetgeving en Kamerstukken. Als laatste presenteren wij u ons trainingsprogramma voor volgend jaar. En wensen wij u bij deze alvast een prettig uiteinde en een gelukkig alsmede juridisch correct 2015!

Lisette Meij - juridisch adviseur en opleidingscoördinator - [email protected] Daphne Dekker – (eind)redactie - [email protected] Eline Pellis - vormgeving - [email protected] Brenno de Winter - columnist Foto’s auteurs: Geert de Jong - CheeseWorks.nl

ICTRecht - 3

Auteur: Steven Ras Partner

Hoe verkrijgt u de auteursrechten op bestelde software? Ieder bedrijf koopt software in. Standaardsoftware zoals Microsoft Office, maar ook volledig als maatwerk ontwikkelde software en alles daar tussenin. Maar wat veel bedrijven zich niet realiseren, is dat ze door het kopen (of laten maken) van software niet de rechten daarop verwerven. De opdrachtgever krijgt een gebruiksrecht maar is daarbij afhankelijk van wat de leverancier hem toestaat. De ontwikkelaar de rechten Hoofdregel uit de Auteurswet is dat de partij die de software maakt, daar de rechten op heeft. Wanneer uw bedrijf een ontwikkelpartij inhuurt, heeft dus deze ontwikkelaar de rechten. Ook als u betaalt en ook als u aangeeft hoe het eindresultaat eruit zou moeten zien. U betaalt dus voor ontwikkeling en levering van een stuk software waar u geen eigenaar van wordt De wet (en het contract met de leverancier) bepaalt dat u een gebruiksrecht krijgt: u mag de software inzetten voor het beoogde doel. Echter, de scope van dit gebruiksrecht kan fors tegenvallen. Vaak is bijvoorbeeld het wijzigen of uitbreiden van de software uitgesloten van dit gebruiksrecht. Zo moet u voor iedere aanpassing terug naar de leverancier, en kan deze het tarief rekenen dat hem goeddunkt. Een dergelijke afhankelijkheid is vaak niet wenselijk.

4 - ICTRecht

Daarbij komt dat in het geval van faillissement of einde dienstverlening u als gebruiker aan het kortste eind trekt. Als de leverancier besluit dat de licentie wordt opgezegd, dan heeft u een probleem. Wellicht kunt u een eeuwigdurende licentie bedingen, maar besef wel dat bij een faillissement de curator tóch deze contractuele afspraak mag doorkruisen. Het Nebula-arrest van de Hoge Raad bepaalt dat een curator mag wanpresteren als dat in het belang is van de boedel.

Wettelijke redding Zonder contractuele afspraak liggen de rechten dus bij de leverancier. Altijd? Niet helemaal. De wet biedt u als opdrachtgever in enkele gevallen toch een claim op de auteursrechten. De belangrijkste grondslag is artikel 8 Auteurswet: wordt een werk gepubliceerd door een bedrijf (of vereniging,

stichting of andere rechtspersoon) met verwijzing naar dat bedrijf en zonder aanduiding van een persoon als maker, dan wordt het auteursrecht geacht bij dat bedrijf te liggen. Geacht, dus tegenbewijs is niet mogelijk. De auteursrechten komen dan van rechtswege toe aan het publicerende bedrijf. Ook als het bedrijf niet het werk zelf gemaakt heeft, en ook niet als op papier staat dat de auteursrechten bij de leverancier liggen. De enige uitzondering is wanneer de openbaarmaking onrechtmatig was. Daarvan is sprake als het publicerende bedrijf tegen de wil van de maker diens naam wegliet, of publiceert terwijl dit in het geheel niet toegestaan was. Het is echter mogelijk artikel 8 in leveringsvoorwaarden buiten werking te stellen. Als bepaald is dat publicatie zonder naamsvermelding toegestaan is maar de auteursrechten bij de leverancier blijven, dan is een beroep op dit wets­­

artikel niet meer mogelijk. Ook wordt in de praktijk bij software vaak een expliciete copyright notice opgenomen. Die ver­­­­mel­ ding maakt ook dat artikel 8 niet meer opgaat.

Juridische aardschok Heeft u alleen een gebruiksrecht, dan biedt het Europese Usedsoft-arrest of het Nederlandse Beeldbrigade-arrest. Het Hof van Justitie zorgde voor een Europese aardschok door te bepalen dat er sprake is van koop wanneer men een eeuwigdurende licentie op standaardsoftware verwerft tegen een eenmalige vergoeding die de economische waarde van de software reflecteert. In de literatuur wordt al wel betoogd dat een dergelijke licentie bestand zal zijn tegen een beroep op het Nebula-arrest (zie bv. Hendrik Struik NJB 2013, 2507).

u die dan als leidend kunt krijgen, zit u goed met de auteursrechten. Want achteraf de auteurs­rechten verwerven kan natuurlijk, maar uw onderhandelingspositie is zwak aangezien u de software als gebruikt en dus niet zomaar weg zult lopen. Een contractuele eis tot afgifte van auteursrechten levert vaak wel veel discussie op met leveranciers. Deze zijn namelijk niet gewoon auteursrechten af te staan, al helemaal niet op standaard­software of software die als SaaS wordt geleverd. Een SaaS-pakket is per definitie voor meerdere gebruikers tegelijk bedoeld, en de auteursrechten

daarop afstaan is net zo gek als van een transportbedrijf ver­langen dat ze de bedrijfsauto’s voor uw pakketten aan u in eigendom geven. Veel leveranciers zijn bereid de auteursrechten op maatwerksoftware af te staan. Echter, vaak wordt bij het ontwikkelen van maatwerk ook standaardsoftware gebruikt. Vaak gaat het dan om standaardbibliotheken of raamwerken (frameworks) waarmee snel functionaliteit wordt gerealiseerd. De leverancier zal hier niet de eigendom op willen afstaan, aangezien hij deze voor al zijn klanten inzet.

En onze Hoge Raad verklaarde in het Beeldbrigade-arrest de kooptitel uit Boek 7 van toepassing op standaard­ software geleverd onder vergelijkbare voorwaarden. Dit biedt perspectieven wanneer onderhoud slechts tegen onbillijke voorwaarden wordt aange­boden. Immers, veel fouten zullen als non-conformiteit aan te merken zijn en dat is in strijd met de bepalingen omtrent koop. En er zijn maar weinig leveranciers die de kooptitel uitsluiten in hun leveringsvoorwaarden (wat op zich toegestaan is bij business-to-business verkoop).

Contractueel afspreken Voor u als afnemer is het dus beter om contractueel af te spreken dat uw bedrijf eigenaar wordt van de auteursrechten op de geleverde software. Dat kan per contract, maar om dit voor de toekomst te regelen, kunt u een algemeen beding van die strekking opnemen in uw algemene inkoopvoorwaarden. Zolang

ICTRecht - 5

Echter, dit is voor u nadelig: u bent nu eigenaar van een prachtig tuinhuis maar de fundering en de muren huurt u slechts want dat zijn standaardproducten. Omgekeerd is afgifte van de rechten voor de leverancier nadelig: hij kan de software dan niet meer elders inzetten. De oplossing van een licentie teruggeven is weinig praktisch, omdat een volgende klant er op zijn minst zeer gek van op zal kijken dat de geleverde standaardsoftware geen eigendom is van de leverancier maar van een andere klant – mogelijk zelfs een concurrent. Hier een oplossing voor vinden is niet eenvoudig. De belangen zijn immers fundamenteel tegenstrijdig. Grotere leveranciers willen nog wel eens de rechten op die standaardsoftware onderbrengen in een onafhankelijke entiteit zoals een stichting, zodat de klant meer zekerheid heeft over toegang tot de software na wegvallen van de leverancier. Maar dit is een complexe oplossing. Praktischer is om in deze situatie direct bij het aangaan van het contract al na te gaan hoe snel u van deze leverancier af kunt mocht dat ooit nodig zijn. Een dergelijk exitplan op voorhand kan veel gedoe achteraf besparen.

Overdracht krachtens akte Kunt u de leverancier overtuigen van overdracht van rechten, dan is het zaak dit vast te leggen. Het leveren van auteursrechten gebeurt middels een akte, een schriftelijk stuk dat ondertekend wordt door de rechthebbende. Een akte kan kort zijn: “Hierbij levert X alle auteursrechten op werk Y aan Z” met handtekening.

6 - ICTRecht

Gebruikelijk is echter toch iets meer toe te voegen: • Een verklaring dat X alle rechten bezit; • Een vrijwaring aangaande claims van derden; • Een regeling over gebruik door X na overdracht, bijvoorbeeld opname in diens portfolio of hergebruik in onderdelen elders; • Een regeling over (eventueel) delen in inkomsten van het werk; • Betalingsvoorwaarden Pijnpunt is altijd hoe het werk te omschrijven. Een titel of naam kan genoeg zijn, maar is riskant. De eis is dat het werk voldoende bepaalbaar omschreven is. Dit is lastig, zeker bij nog te maken werken. “Alle voor Z te maken software” in inkoopvoorwaarden is niet genoeg, aangezien een dergelijke algemene omschrijving per definitie niet specifiek te noemen is. Bij software is een gebruikelijke techniek om een lijst met bestanden op te nemen in een bijlage. Dat kan, maar staat daarmee de inhoud van die bestanden ook vast? Een technisch betere oplossing is naast die lijst ook de zogeheten hashcodes van de bestanden op te nemen. Een hashcode is een code, vergelijkbaar met een vingerafdruk, die uniek is voor een specifiek bestand. De hashcode van een bestand kan later eenvoudig worden uitgerekend en vergeleken met de hashcode in de akte. Zijn ze hetzelfde, dan is dit het bestand dat werd bedoeld. Staan er wijzigingen in het bestand, dan zal de hashcode (flink) afwijken. U kunt natuurlijk ook de software in kwestie op een dvd of usb-stick branden en die op een of andere manier aan de akte koppelen.

Een serienummer (en handtekeningen) op de dvd, en dat serienummer opnemen in de akte. Houd er verder rekening mee dat software regelmatig aangepast wordt. Of die aanpassingen mee te nemen zijn in de omschrijving van het werk, is een lastige juridische vraag. Voor extra zekerheid kunt u elk jaar een “veeg-akte” opstellen waarin de aanpassingen nog eens expliciet aan u overgedragen worden. En als laatste: krijgt u auteursrechten geleverd, lever deze dan door aan de moedermaatschappij of andere groepsmaatschappij waar u uw eigen intellectuele eigendommen in plaatst. Zo voorkomt u dat er verworven auteursrechten ‘zwerven’ bij werkmaatschappijen.

De beperkte waarde van escrow Om te voorkomen dat u met een onbruikbaar stuk software blijft zitten als de leverancier ermee ophoudt, wordt traditioneel het instrument van de escrow ingezet. Hierbij wordt de broncode bij een onafhankelijke derde gedeponeerd. Deze geeft de broncode vrij aan uw bedrijf wanneer bepaalde gebeurtenissen zich voordoen, zoals een faillissement van de leverancier of een aankondiging dat deze onderhoud aan de software staakt. Zo heeft u zekerheid dat u verder kunt, maar pas als de leverancier zelf geen onderhoud meer kan bieden. Helaas is escrow maar beperkt nuttig. Het vereist allereerst dat de derde kan nagaan of de software compleet is, en ook voorzien van de laatste updates en aanpassingen. Hier afspraken over maken kan, via gespecialiseerde bedrijven als Escrow Europe BV, maar is een dure kostenpost. En in geval van een faillissement kan de curator de afspraken

omtrent escrow doorkruisen met een beroep op het Nebula-arrest. Slechts wanneer naast escrow ook de auteursrechten bij een derde zijn geplaatst, zoals een stichting continuïteit, kan escrow een werkbare oplossing zijn.

Praktisch oplossen

Voorzie uw inkoopvoorwaarden van een standaardclausule over auteursrechten. Beding daarin de volledige rechten op alle geleverde software, eventueel met een uitzondering voor standaardsoftware waarbij u ‘slechts’ een onbeperkte en eeuwigdurende licentie krijgt. Tegen inderdaad een eenmalige vergoeding.

Bij veel bedrijven is weinig bekend dat auteursrechten niet standaard meekomen bij de aanschaf of ontwikkeling van software. Zorg er dus voor dat inkopers en bedrijfsverantwoordelijken hiervan op de hoogte zijn. Als de commerciële deal al rond is, zijn extra afspraken over auteursrechten een hindernis. Ga bij leveringsvoorwaarden altijd na of u de rechten krijgt op wat er wordt geleverd. Als maatwerk wordt geleverd, laat dan expliciet documenten of daarbij ook standaardsoftware zoals frameworks of bibliotheken hoort en welke rechten u daarop krijgt. Bij voorkeur is de licentie hierop eeuwigdurend. Als u dan ook nog de vergoeding voor de standaardsoftware tot een eenmalige kunt onderhandelen, dan staat u het sterkst bij eventuele problemen met de leverancier.

Overweeg te eisen dat gebruikte standaard­ software open source (zie kader) moet zijn, om zo uw afhankelijkheid van de leverancier te beperken. Natuurlijk zal dit niet altijd haalbaar zijn maar op zijn minst geeft u zo een signaal af zodat een discussie over eigendom en licenties ontstaat. En het is altijd beter zulke discussies vooraf te voeren. Accepteert u dat de geleverde software niet (volledig) uw eigendom wordt, laat de business dan meteen een exitplan maken over hoe verder te gaan als de leverancier de stekker eruit trekt. Zo wordt men geconfronteerd met de gevolgen van de keuze en wordt een oplossing verzonnen voordat het probleem zich voordoet. En dat is uiteindelijk het beste.

Open source als alternatief Om uw afhankelijkheid van een softwareleverancier te beperken, kunt u kiezen voor open source software. Deze software is vrij beschikbaar op internet en wordt door grote groepen vrijwilligers (en bedrijven) onderhouden. Hiermee is de continuïteit gegeven. En de licentie is eeuwig­durend en gratis. Omdat niet één partij de licentie geeft, bent u bij gebruik van open source niet afhankelijk van die ene partij. U kunt verschillende partijen inschakelen voor onderhoud of uitbreidingen en kunt zonder juridische problemen overstappen wanneer u wilt. Ook zijn er vaak veel extra’s voor een specifiek pakket, zoals aparte modules of koppelingen met andere software. Een risico van open source is wel dat het verspreiden of voor het publiek gebruiken van aangepaste versies aan licentievoorwaarden gekoppeld is. Deze vereisen dat aanpassingen dan ook als open source verspreid of aangeboden worden.

ICTRecht - 7

Auteur: Maaike Lassche Juridisch adviseur

Wet- en regelgeving Wetsvoorstel verduidelijking toepassingsbereik koopregels van titel 7.1 BW

Warenwetbesluit informatie levensmiddelen

Ingevolge dit wetsvoorstel kan titel 7.1 BW toe­­ gepast worden op download-overeenkomsten, wanneer de digitale inhoud individualiseerbaar is en er feitelijke macht uitgeoefend kan worden. Dit is al eerder bevestigd in het Beeldbrigade-arrest van de Hoge Raad1. Bij streaming kan de digitale inhoud niet zo gekwalificeerd worden en zijn de koopregels van titel 7.1 BW niet van toepassing.

Op 13 december 2014 treedt het warenwetbesluit informatie levensmiddelen in werking. Dit besluit is genomen naar aanleiding van Verordening 1169/2011. Met de verordening wordt beoogt om de leesbaarheid van etiquette te verbeteren en de consument beter te informeren omtrent de samenstelling van producten. De nieuwe regels gelden ook voor levensmiddelen die online verkocht worden.

Bron: Kamerstukken II, 2014-15, 34071, nr. 2.http://bit.ly/1EUItLi

http://bit.ly/1t7JHfJ

Wetsvoorstel vereenvoudiging en digitalisering procesrecht

Wetsvoorstel implementatie richtlijn aanvallen op informatiesystemen

Vanaf 2015 wordt het digitaal procederen in zowel het burgerlijk procesrecht als het bestuursprocesrecht verplicht voor (bijna) alle partijen. Er is een uitzondering gemaakt voor natuurlijke personen en verenigingen waarvan de statuten niet zijn opgenomen in een notariële akte. Er vinden twee grote veranderingen plaats. Ten eerste dienen alle stukken digitaal ingebracht en uitgewisseld te worden. Daarnaast vindt er een versimpeling van het proces plaats. Er wordt een basisprocedure ingesteld, waarbij er nog maar één schriftelijke en één mondelinge ronde plaats vindt voordat er uitspraak wordt gedaan. De rechter kan hier echter van afwijken, indien de aard of de complexiteit van de zaak daarvoor aanleiding geeft.

Dit wetsvoorstel strekt tot implementatie van de richtlijn 2013/40/EU van het Europese parlement en de Raad. Dit wetsvoorstel leidt tot aanpassingen in het Wetboek van Strafrecht. Er zullen onder andere een aantal aanscherpingen van strafbaarstellingen met betrekking tot computercriminaliteit plaatsvinden. Zo wordt de maximum straf verhoogd bij computerdelicten en zijn er een aantal straf­ verzwarende omstandigheden bijgekomen.

Bron: Kamerstukken II , 2014-15, 34059, nr. 2. http://bit.ly/1sMxxbS

1

8 - ICTRecht

HR 27 april 2012, ECLI:NL:HR:2012:BV1301.

Bron: Kamerstukken II, 2014-15, 34034, nr. 2. http://bit.ly/1pYuoLJ

Kamerbrief over big data en profilering in de private sector Minister Kamp van Economische Zaken schrijft een brief naar de kamer over de mogelijkheden van big data en profilering in de private sector. De minister benadrukt dat big data en profilering veel mogelijkheden bieden, maar wijst ook op de gevaren wanneer er niet verantwoordelijk wordt omgegaan met de (persoons)gegevens en de burger het vertrouwen verliest in big data en profilering. Het kabinet formuleert daarom drie randwaarden voor vertrouwen: controle van de burger over zijn eigen gegevens, transparantie en verantwoordelijkheid van bedrijven.

Reactie van het kabinet naar aanleiding van de ongeldigverklaring van de richtlijn dataretentie Op 8 april 2014 heeft het Hof van Justitie2 de richt­lijn dataretentie ongeldig verklaard. Naar aanleiding van deze uitspraak heeft de minister van Veiligheid en Justitie een brief geschreven waarin namens het kabinet ingegaan wordt op de gevolgen van deze uitspraak. Het kabinet is van mening dat de wet bewaarplicht telecommunicatiegegevens aangepast moet worden. Zo heeft het kabinet voornemens extra waarborgen te treffen met betrekking tot de toegang van de bewaarde gegevens. Eén van de voorstellen is om een rechtelijke toetsing toe te passen.

http://bit.ly/1tkLM7X http://bit.ly/1zJ6WSK

Actieplan privacy Er is een actieplan geschreven door het Privacy en Identity lab. Dit actieplan is in opdracht van de minister van Economische Zaken uitgevoerd, maar vertegenwoordigt niet het standpunt van de minister. In het actieplan worden onder andere een aantal voorstellen gedaan voor “het versterken van de positie van de data subject” met betrekking tot big data en de bescherming van persoonsgegevens. Zo wordt er bijvoorbeeld voorgesteld, om een functionaris gegevensbescherming aan te stellen bij bedrijven en organisaties. De functionaris gegevensbescherming is “verantwoordelijk voor het correct implementeren van het beleid en de wettelijke privacy regels”. Daarnaast ontwerpt de functionaris gegevensbescherming ook het beleid ten aanzien van de privacy. De functionaris gegevensbescherming is een “ interne toezichthouder op de verwerking van persoonsgegevens”.

http://bit.ly/1v1h1KI

Wetsvoorstel digitale processtukken strafvordering Met dit wetsvoorstel wordt het Wetboek van Strafvordering en de Wet op de economische delicten gewijzigd. Het doel van dit wetsvoorstel is om de stukkenstroom te digitaliseren in het strafrecht. Verdachten, advocaten, slachtoffers en getuigen krijgen de mogelijkheid om stukken digitaal in te brengen. Zo wordt het mogelijk voor de verdachte om een schriftelijk verzoek langs elektronische weg in te dienen. Daarnaast wordt ook de digitale handtekening gedefinieerd. “Elektronische gegevens die gehecht zijn aan of logisch verbonden zijn met andere elektronische gegevens en die worden gebruikt door de ondertekenaar om te ondertekenen.”

Bron: Kamerstukken II, 2014-15, 34090, nr.2. http://bit.ly/1AbaoG2

2

HvJ EU 8 april 2014, C‑293/12 en C‑594/12.

ICTRecht - 9

COLUMN Brenno de Winter

onderzoeksjournalist

Wanneer begint de aansprakelijkheid van een leverancier? Als gebruiker van dienstverlening of programmatuur zijn wij afhankelijk van onze leveranciers. De kwaliteit van de broncode bepaalt of de gegevens die wij verwerken wel veilig zijn. Veel spelers in de markt nemen die rol serieus. Maar helaas niet alle. Wat zijn daarvan de gevolgen? In Nederland wordt hoog opgegeven over responsible disclosure. De richtlijn moet ethische hackers helpen om veilig lekken te kunnen melden. Los van het feit dat het hackers geen bescherming biedt, speelt er een ander nadeel: de richtlijn is geschreven voor goedwillende partijen in de markt. Een lek wordt gemeld en de marktpartij wenst het op te lossen en is eerlijk over problemen. Niets doen Recentelijk kwam beveiligingsonderzoeker Sijmen Ruwhof bij mij met de mededeling dat hij een lek had gevonden in een product. Na herhaalde melding bij de leverancier bleek er niets te gebeuren. Hij kreeg geen antwoord van de bouwer van het product.

10 - ICTRecht

Toen hij dieper ging onderzoeken bleek het lek al eerder te zijn ontdekt en jaren eerder te zijn aangemeld. Al zijn goede wil ten spijt deed de bouwer niet. Het gevolg is dat duizenden websites onveilig zijn en kwetsbaar voor een inmiddels gepubliceerd lek. Geen richtlijn helpt hem wat te doen en niemand die in actie komt om de problemen te verhelpen. Daar sta je dan als goed bedoelend beveiligingsonderzoeker. Je klant is onveilig, de leverancier geeft niet thuis en naast dat anderen het lek ook ontdekten, zullen criminelen dat ook doen. Nalatig Iedereen kan een foutje maken, maar in dit geval weet de leverancier van een kwetsbaarheid en doet niets. Een interessante vraag is wanneer aansprakelijkheid begint te komen. Want van nalatigheid kun je na een jaar of drie na eerste melding van een lek toch wel spreken. Kan een leverancier zich nog achter het argument verschuilen dat de algemene voorwaarden aansprakelijkheid uitsluiten? Dat is een ingewikkelde vraag.

De vraag is vervolgens of u zich nog achter uw leverancier kunt verschuilen. Op het moment dat er persoonsgegevens worden verwerkt, is het uw verantwoordelijkheid dat gegevens worden beschermd ‘conform de stand der techniek’. In het geval van Ruwhof is daar zeker geen sprake van. Als uit openbare bronnen een beveiligingslek is te vinden dat al jaren open staat dan is dat op zijn minst problematisch. Is het niet juridisch gevaarlijk dan zeker in de beeld­ vorming.

Het onderwerp beveiliging moet – zeker bij het verwerken van persoonsgegevens – al tijdens de inkoop serieus de aandacht krijgen. Sommige organisaties kiezen ervoor om bij aanschaf van een product een beveiligingstest uit te voeren. Klopt iets niet dan volgt de kans op herstel en anders gaat de deal niet door. Eigenlijk moet beveiliging bij het sluiten van contracten standaard onderdeel zijn. Dan krijgt Ruwhof meer dankbare leveranciers op zijn pad en worden we allemaal veiliger.

ICTRecht - 11

Auteur: Daan Kramer Juridisch adviseur

Online kansspelen: verandering van beleid en wetgeving Het aanbieden van online kansspelen is een lucratieve business, maar er kleven wel de nodige maatschappelijke en juridische risico’s aan. Om kansspelverslaving en criminaliteit tegen te gaan wordt dergelijk gokken streng gereguleerd. Vanaf 2015 gaat dat veranderen. De Wet op de Kansspelen gaat op de schop en het aanbieden van online kansspelen wordt in Nederland gelegaliseerd. Vanwaar deze omslag en wat betekent deze nieuwe wetgeving in de praktijk?

Kansspelbeleid Regelgeving omtrent het aanbieden van online kansspelen is binnen de EU niet geharmoniseerd. Lidstaten hebben dus de nodige vrijheid om hun eigen beleid te bepalen en Nederland koos vooralsnog voor een restrictief beleid. Voor het aanbieden van kansspelen in Nederland, al dan niet via internet, is een vergunning vereist op grond van de Wet op de kansspelen (WoK). Praktisch gezien betekent dit dat slechts aan een handjevol partijen (zoals de Staatsloterij, de Lotto en Holland Casino) een dergelijke vergunning is verstrekt. De overige aanbieders worden geweerd. Dit beleid werd ingezet onder minister Donner die meende dat kansspelen vergaande maatschappelijke risico’s met zich meebrengen. Om deze risico’s tegen te gaan werd het nodig geacht om het beleid betreffende kansspelen strenger te

12 - ICTRecht

reguleren. Dit restrictieve beleid moest, onder andere, leiden tot preventie van kansspelverslaving en criminaliteit.

procedure resulteerde tot een beroep in cassatie bij de Hoge Raad2, die hierover in 2008 prejudiciële vragen heeft gesteld aan het Hof van Justitie EU (hierna: het Hof).

Vrij verkeer van diensten Het beleid riep nogal wat weerstand op, deze zou namelijk in strijd zijn met het vrij verkeer van diensten. De vraag of Nederland bedrijven kan verbieden om kansspelen via het internet aan te bieden, kwam aan het licht in de Ladbrokes zaak.1

De prangende prejudiciële vraag was of de Nederlandse regeling in strijd is met het vrij verkeer van diensten zoals neergelegd in artikel 49 EG (sinds 1 december 2009 vervangen door artikel 56 VWEU).

Het Engelse bedrijf Ladbrokes biedt op haar website sportgerelateerde kansspelen aan. De Lotto voorzag omzetverlies / schade en stelde voor de Nederlandse rechter dat Ladbrokes onrechtmatig handelde. Volgens De Lotto bestond die onrechtmatigheid uit het feit dat Ladbrokes aan Nederlandse burgers online kansspelen aanbood, zonder daarvoor over een vereiste vergunning te beschikken. Deze jarenlang voortslepende

Het Hof oordeelde dat kansspelen vallen onder het vrije verkeer van diensten en dus, bijvoorbeeld via het internet, over de grens mogen worden aangeboden. Echter, de beperking die Nederland hanteert kan gerechtvaardigd worden door het doel van de regeling. Bij dit laatste kan gedacht worden aan consumentenbescherming, bestrijding van fraude of het vermijden van maatschappelijke problemen. In 2012 volgde de Hoge

Raad3 dit oordeel en daarmee handelen buitenlandse aanbieders van online kansspelen onrechtmatig indien zij zich op de Nederlandse markt richten.

Omzeiling Naast een beroep op het vrij verkeer van diensten proberen aanbieders onder het Nederlandse vergunningsvereiste uit te komen door hun kansspelen aan te bieden vanaf een ver oord met een aldaar verkregen gokvergunning. Echter, de Wet op de Kansspelen is van toepassing op aanbieders die zich op de Nederlandse markt richten. Dit laatste kan bijvoorbeeld blijken uit een .nl of .com/nl extensie, aanbod/advertenties in de Nederlandse taal en de mogelijkheid om middels iDeal (alleen geschikt voor overboekingen in Nederland) te betalen.4

Modernisering In 2011 kondigde staatssecretaris Fred Teeven aan dat het huidige beleid op de schop gaat. Het gevolg hiervan dient te zijn dat de consument kan beschikken over een passend en attractief aanbod van kansspelen. Het voornemen is om aanbieders een eerlijke kans te geven om rechtmatig online kansspelen aan te bieden. De overheid hoopt zo meer grip te krijgen op de aanbieders en de maatschappelijke risico’s te verkleinen. Er zijn, naast de argumentatie van Teeven, meer redenen te bedenken waarom aan-­ ­­­bieders van online kansspelen vanaf 2015 een vergunning kunnen bemachtigen. De belangrijkste lijkt het prijskaartje dat aan een dergelijke vergunning hangt. Naar verwachting bedraagt deze namelijk tussen de € 35.000,- en € 50.000,-. In tijden van economische tegenslag en bezuinigingen zijn deze inkomsten en de inning van kansspelbelasting een welkome aanvulling op de staatskas.

Verandering In het kader van de modernisering werd de Wet op de Kansspelen aangepast. Naar verwachting zal deze nieuwe wetgeving begin 2015 in werking treden. Naast het aanzienlijke bedrag dat de aanbieder dient te betalen voor een vergunning, komt daar ook een heel pakket aan zorgplichten bij. Zo dienen aanbieders de spelers te informeren over de gevaren van kansspelverslaving. Het gokgedrag van spelers dient duidelijk zichtbaar te zijn tijdens het spel en spelers dienen beperkt toegang te krijgen of zelfs worden uitgesloten indien zij risicovol gedrag vertonen.

Daarnaast moeten aanbieders bijdragen aan een verslavingsfonds dat is opgericht om gokverslavingen te voorkomen en komt er een register van risicospelers welke zal worden beheerd door de Kansspelautoriteit. De meest vergaande wijziging betreft de blokkeringsverplichting zoals neergelegd in artikel 34n lid 2 wetsvoorstel Kansspelen op Afstand. Een grondslag om internetproviders, maar ook financiële dienstverleners als iDeal en PayPal, te verplichten om websites van aanbieders in het buitenland en betaalverkeer te blokkeren.

ICTRecht - 13

Deze blokkering kan worden opgelegd indien er sprake is van organisatie van, deelname aan of reclame voor illegale kansspelen. Zeer opvallend aan deze nieuwe bepaling is dat het de raad van bestuur (Kansspelautoriteit) is die de verplichting tot blokkade kan opleggen. Men kan tegen een opgelegde blokkeringsverplichting in beroep bij de (bestuurs)rechter, maar het is opvallend dat de Kansspelautoriteit (geen gerechtelijk orgaan) een uiterst vergaande bevoegdheid krijgt. Lijnrecht tegenover deze blokkeringsverplichting staat namelijk het grondrecht op informatievrijheid. We hebben in de Pirate Bay zaak kunnen zien hoe de blokkeringsverplichting uiteindelijk onderuit werd gehaald door het Hof.5 In de Memorie van Toelichting van de nieuwe wet Kansspelen op Afstand, wordt kort ingegaan op de blokkeringsverplichting vs. informatievrijheid: ‘’Omdat het hier gaat om commerciële uitingen, kan naar de mening van de regering aan die zwaarwegende algemene belangen op voorhand meer gewicht worden toegekend dan aan het belang van de illegale kansspelaanbieder en de deelnemer aan die illegale kansspelen’’.6 Daarnaast wordt aangehaakt bij het hierboven vermelde oordeel van het Hof van Justitie van de Europese Unie: een beperking van vrij verkeer van diensten kan worden gerechtvaardigd door het kansspelbeleid.

Handhaving Naast de bevoegdheid om blokkades op te leggen heeft de in 2012 in het leven geroepen Kansspelautoriteit de bevoegdheid om boetes uit te delen tot een bedrag van €780.000,-. Na een jarenlang handhavingsprobleem dient de Kansspelautoriteit hier een einde aan te maken. Dat zij deze taak serieus neemt blijkt wel uit de eerste boete á €100.000,die zij in augustus 2013 uitdeelde aan het op Curaçao gevestigde Globalstars. Volgens de Kansspelautoriteit richtte deze aanbieder zich (mede) op de Nederlandse markt zonder de benodigde vergunning. Globalstars was daarmee de eerste online kansspelaanbieder die beboet werd door de Kansspelautoriteit. Inmiddels zijn er rond de 10 partijen beboet door de Kansspelautoriteit. Het ging hierbij om boetes tussen de €5.000,- en €150.000,-.

Conclusie De modernisering van het kansspel­ beleid lijkt op het eerste gezicht een win-winsituatie. De markt krijgt een groot legaal aanbod van kansspelen, de overheid harkt bakken met geld binnen en heeft vergaande bevoegdheden om maatschappelijke risico’s te beperken. Het is echter een utopie om te denken

Gezien het prijskaartje zullen veel aanbieders naast een vergunning grijpen. Daarnaast is het de vraag hoe strikt er in de praktijk wordt omgegaan met de zorgplichten van aanbieders. Tevens is het wachten op het moment dat de vergaande bevoegdheden van de Kansspelautoriteit uitmonden in de eerste procedures. Vooral de blokkeringsplicht, een ultimum remedium volgens Teeven, en de uitvoering daarvan lijkt een juridisch struikelblok.

Bronnen 1

HvJ EU 3 juni 2010, nr. C-258/08, Ladbrokes Betting & Gaming Ltd en Ladbrokes



International Ltd vs. Stichting de Nationale Sporttotalisator . 2 3

5

Hoge Raad 13 juni 2008, LJN BC8970.

Hoge Raad 24 februari 2012, ECLI:NL:HR:2012:BT6689.

4

Besluit Globalstars, OA/2012/001.

Hof Den Haag 28 januari 2014, ECLI:NL:GHDHA:2014:88.

6

14 - ICTRecht

dat er daarmee een einde komt aan het illegale aanbod van online kansspelen.

MvT Kansspelen op Afstand, p. 38.

Auteur: Arnoud Engelfriet Partner

Terugblik: tien jaar ICTRecht Op 11 november 2014 was het exact tien jaar geleden dat ons bedrijf ICTRecht haar eerste inschrijving bij de Kamer van Koophandel deed. En daar zijn wij trots op. Het jaar 2004 bracht ons onder meer TheFacebook, Gmail, Myspace en de beursgang van Google. Op juridisch gebied was er ook het nodige te beleven: Windows en Lindows maakten ruzie over het merk van de laatste, de Hoge Raad deed een uitspraak over het Kournikova-virus en embedden van foto’s was nog auteursrechtinbreuk.

Steven Ras begon in 2004 ICTRecht naast zijn studie, en kon zo snel en effectief kleine ict-ondernemers van dienst zijn. Na eerste klanten binnen hosting- en webwinkelbranche groeide het bedrijf al snel uit tot een breed bedrijf binnen de ict-sector. In 2008 trad Arnoud Engelfriet toe als partner. Arnoud werkte in die tijd bij Philips, waar hij als IP counsel adviseerde over softwarelicenties, octrooien en open source. Ook blogde hij sinds 2007 over internetrecht.

Nadien is het bedrijf ICTRecht alleen maar harder gegroeid. Waar in 2009 de VOF haar eerste medewerker contracteerde, telt het bedrijf nu zestien mensen in fulltime dienst. En ICTRecht is geen gewoon kantoor. Ons doel is continu innoveren en nieuwe dingen verzinnen. En dat doen we. Zo openden we met onze generatoren een nieuwe markt voor juridische maatdocumenten. Dus wat de komende tien jaar ook zullen brengen: wij zijn er klaar voor.

ICTRecht - 15

Auteur: Steven Ras Partner

Wat speelt er bij DUWO? DUWO is een woningcorporatie en dé specialist in studentenhuisvesting in Nederland. Op het gebied van digitale dienstverlening loopt DUWO voorop in de corporatiesector. Zo was DUWO in 2013 de eerste corporatie die huurcontracten digitaal laat ondertekenen en gebruik maakt van een stateof-the-art klantcontactcentrum. Aangezien DUWO persoonsgegevens van meer dan tienduizend studenten verwerkt en al haar huurovereenkomsten elektronisch laat ondertekenen, heeft DUWO de hulp van ICTRecht ingeschakeld. Deze hulp hield onder andere in DUWO te begeleiden met het in kaart brengen van het juridisch kader, de processen te inventariseren en eventueel de nodige juridische maatregelen te treffen teneinde compliant te zijn aan de toepasselijke wet- en regelgeving en dan met name op het gebied van privacy en elektronisch contracteren. Wat zijn de belangrijkste risico’s van een digitaliseringsproces bij een woningcorporatie? Een belangrijk risico bij digitalisering is dat gegevens makkelijker te kopiëren of te verspreiden zijn. Een papieren dossier neem je niet zomaar mee, een Excel-bestand wel. Ook kunnen digitale gegevens eenvoudiger van buitenaf worden ‘gekraakt’ of gestolen. Gezien de schade voor de klanten van DUWO alsook het risico op negatieve publiciteit is het essentieel om dergelijke datalekken te voorkomen. Men moet als woningcorporatie dus meer maatregelen nemen om ongelukken met persoonsgegevens en andere data te voorkomen. Dit natuurlijk mede omdat de Wet bescherming persoonsgegevens voorschrijft dat persoons­ gegevens adequaat beveiligd moeten zijn tegen diefstal, ongeautoriseerd gebruik en verlies. Daarnaast is er veel onduidelijk over digitaal contracteren. De wetgeving rond huurrecht vereist strikt gesproken geen schriftelijke overeenkomst voor de huur van woonruimte. Wel is het zo dat een schriftelijke overeenkomst tussen partijen dwingend bewijs oplevert (het is immers een onderhandse akte) over hetgeen onderling afgesproken is, wat veel discussies kan beperken. Een schriftelijk huurcontract is dus wenselijk.

16 - ICTRecht

Daarnaast is een schriftelijk huurcontract dusdanig ingeburgerd in de praktijk dat alleen al daarom een elektronisch contract vragen zal oproepen. Echter, digitaal contracteren biedt vele voordelen zoals een versneld proces, verminderde administratieve lasten en een betere service voor studenten. Het proces voor digitaal contracteren moet dus zorgvuldig worden ingericht om te zorgen dat dezelfde kwaliteit als contracteren op papier wordt gerealiseerd. Om te voorkomen dat hierna twee administraties ontstaan – de oude papieren contracten en de nieuwe elektronische – is het vervolgens gewenst de oude contracten te digitaliseren. Ook dit kan leiden tot discussies: is een gescande huurovereenkomst met een handtekening nog wel een onderhandse akte? Voor wat betreft de verwerking van persoonsgegevens heeft DUWO een PIA, of Privacy Impact Assessment, uit laten voeren door ICTRecht. Dit is een instrument om privacyrisico’s in een vroeg stadium op een gestructureerde en heldere manier in beeld te brengen. Hiermee komt veel informatie beschikbaar over potentiele risico’s en problemen zodat deze kunnen worden voorkomen. Een PIA betreft idealiter alle processen. Vaak wordt echter gekozen voor alleen digitaal, omdat de papieren processen minder impact hebben. Diefstal van 10.000 papieren dossier is niet eenvoudig, diefstal van 10.000 elektronische dossiers uit een online database wel. Wat zijn de inzichten en acties van DUWO na de PIA? DUWO heeft meer kennis verkregen over allerlei regelgeving die ook van toepassing is op corporaties, maar waarbij je als corporatie niet als eerste stilstaat. Denk bijvoorbeeld over het verwerken van een kopie paspoort. Maar ook heeft DUWO zich onvoldoende gerealiseerd wat de marktwaarde is van de adresgegevens van een grote groep studenten. DUWO sluit nu bewerkersovereenkomsten met alle partijen waarmee persoonsgegevens worden uitgewisseld. Studenten worden duidelijk ingelicht over de doeleinden van verwerking, is er intern bij DUWO een bewustwordingsproces op gang gebracht hoe zorgvuldig met persoonsgegevens om kan worden gegaan en zijn de autorisaties van medewerkers geoptimaliseerd. Beveiliging van persoonsgegevens is nu tevens een belangrijk onderdeel van het risicomanagement van DUWO. Is een PIA wettelijk verplicht? Op dit moment is een PIA wettelijk niet verplicht, maar wel zeer aan te raden. Er wordt in Europees verband gewerkt aan nieuwe wetgeving waarin een PIA als eis wordt opgenomen. Dit betreft de privacyverordening. Deze verordening moet een regime voor privacybescherming in heel Europa brengen. Onder meer door verplichte PIA’s en de eis van documentatie over privacyaspecten van elk informatiesysteem wil men het privacy bewustzijn verhogen en de risico’s voor de burger verkleinen.

Hoe werkt het elektronisch contracteerproces? DUWO heeft haar proces voor het sluiten van huurcontracten geheel herzien. Na een online registratie waarbij om naam, adres et cetera wordt gevraagd kan de student een woonruimte selecteren en een huurcontract aanvragen. De voorwaarden worden online getoond en de student geeft hier online akkoord op. Dit is rechtsgeldig, omdat de wet immers geen eis van schriftelijkheid stelt aan een huurcontract. Wel is op grond van de wetgeving rond algemene voorwaarden en elektronisch contracteren (art. 6:234 BW en 6:227b BW) vereist dat het huurcontract op te slaan is voor latere kennis­name. Dit wordt gefaciliteerd door een PDF-bestand met het contract aan de student te leveren. Om de identiteit van de student te verifiëren worden twee controlemiddelen ingezet. Allereerst wordt de student gevraagd een betaling te doen via het bekende iDeal. Deze betaling mag een enkele cent zijn, het gaat enkel om het verkrijgen van de bankrekeninggegevens zodat duidelijk is dat deze student in Nederland woont, althans beschikt over een Nederlandse bank­rekening. De gegevens van de rekeninghouder moeten overeen komen met de gegevens die bij registratie zijn verkregen. Verder is bij registratie om het mobiele telefoonnummer van de student gevraagd. De volgende stap is nu ook dit nummer te valideren: er wordt nu een controle-SMS gestuurd naar dit nummer. Pas na het invoeren van de code in dit SMS-bericht is het proces voltooid. Hiermee is bekend op welk nummer de huurder te bereiken is. Met deze informatie is het voor DUWO voldoende zeker wie de huurder is en dat deze akkoord is gegaan met het huurcontract. Daarmee is de elektronische huurovereenkomst rechtsgeldig gesloten.

ICTRecht - 17

Auteur: Wouter Dammers Advocaat

Wie is verantwoordelijk voor het maken van back-ups? Geen enkel bedrijf kan tegenwoordig nog zonder data. De opslag van gegevens voor beschikbaarheid op afstand is met de opkomst van het internet net zo hard gegroeid. De opslag van gegevens op andere locaties dan uw eigen, zogenaamd veilige, kantoorpand is alleen maar belangrijker geworden, zeker door de opkomst van cloud computing. Maar net zoals in iedere bedrijfstak gaan er wel eens dingen mis: servers gaan offline, schijven raken corrupt, gegevens raken verloren. Dat kan ernstige gevolgen hebben voor de bedrijfscontinuïteit van de afnemers van hostingbedrijven. Hoe haalt uw bedrijf nu inkomsten binnen als uw website of productinformatie­ systeem “down” is? Hoe bereikt u uw klanten met uw nieuwsbrief, nu het klantenbestand corrupt is? Wat als uw gehele systeem niet meer werkt en er geen bedrijf kan worden gevoerd? Gelukkig hebben we een back-up gemaakt, zodat de hele omgeving in no-time terug online is… Toch? Helaas is de praktijk vaak anders. Back-ups blijken wel te zijn gemaakt, maar zijn zelf ook corrupt, onvolledig of niet up-to-date genoeg. Of, nog erger, er blijken helemaal geen back-ups te zijn gemaakt. Tja, wie was daar verantwoordelijk voor? De ICT-leverancier wijst naar de eigen verantwoordelijkheid van

18 - ICTRecht

de klant. De klant wijst naar de zorgplicht van de ICT-leverancier. Bestond er wel een verplichting tot het maken van back-ups? Of mag je als klant veronderstellen dat een hostingprovider daar in voorziet?

De auteurswet bepaalt wel dat een licentienemer het recht heeft om een reservekopie van software te maken, maar dit artikel bepaalt verder niets over een plicht om een reservekopie te maken.

Het zal u niet verbazen dat dergelijke geschillen bij de vleet voorkomen. De rechtspraak kent tal van voorbeelden van schadeclaims door het ontbreken van back-ups. In dit artikel bespreek ik de lessen die hieruit kunnen worden getrokken: wat is de tendens in recente rechtspraak? Wie is verantwoordelijk voor het maken van back-ups? En welke omstandigheden zijn daarbij relevant?

Meer aanknopingspunten kunnen impliciet gevonden worden in de Wet bescherming persoonsgegevens. Voor de toepasselijkheid daarvan moet echter al sprake zijn van persoonsgegevens. Deze wet bepaalt namelijk dat de verant­ woordelijke partij de persoonsgegevens zorgvuldig moet verwerken, en in die zin kan worden beargumenteerd dat ook verlies van gegevens moet worden tegen gegaan. Het maken van back-ups kán dus een maatregel zijn om persoons­ gegevens zorgvuldig te verwerken. En daaruit zou men kunnen afleiden dat de verantwoordelijkheid voor back-ups in principe bij de privacyrechtelijke verantwoordelijke ligt.

De wet over back-ups De wet bepaalt eigenlijk heel weinig over back-ups. Naast een paar archiefwetten, met name voor overheidsinstellingen van belang, bepaalt de wet verder niets concreets over wie verantwoordelijk is voor het maken van back-ups.

Voor de beoordeling wie verantwoordelijk is voor back-ups zullen partijen daarom in de regel moeten terugvallen op wat zij met elkaar hebben afgesproken. De overeenkomst is dus van belang. Maar ook gewoontes in de praktijk, zoals wanneer het in een bepaald geval gebruikelijk is dat een partij een bepaalde verplichting op zich neemt, kan van belang zijn. Daarnaast kan het missen van back-ups ook onder omstandigheden onrechtmatig zijn. Het had dan – los van de overeenkomst – tot de maatschappelijke zorgvuldigheid van de leverancier of klant gehoord om in back-ups te voorzien.

Haviltexen over back-ups Als een overeenkomst duidelijk bepaalt dat de leverancier of de klant verantwoordelijk is voor het maken van back-ups dan weegt dat natuurlijk erg zwaar. De praktijk is vaak minder rooskleurig: De meeste problemen bestaan nu juist wanneer de overeenkomst níets bepaalt over wie verantwoordelijk is voor back-up verplichtingen. En als er al iets is overeengekomen, dan is dit vaak in bewoordingen die niet echt duidelijk zijn, of te algemeen. Denk daarbij vooral aan weggestopte, algemene afspraken in algemene voorwaarden of service level agreements (SLA). Bij de uitleg van overeenkomsten moet echter niet altijd alleen na de schriftelijke bewoordingen van een overeenkomst worden gekeken. Haviltexen dus: kijken naar de zin die partijen aan de bepalingen mochten toekennen. Daarbij moet worden gelet op alle omstandigheden van het geval. Ook moet worden gekeken naar wat zij in alle redelijkheid van elkaar mochten verwachten.

Hierbij heeft de Hoge Raad de volgende omstandigheden als voorbeeld aangevoerd: a. De bewoordingen van de betreffende bepaling; b. De aard van de overeenkomst; c. De inhoud van de overeenkomst; d. De strekking van de overeenkomst; e. De mate van gedetailleerdheid van de overeenkomst; f. De wijze waarop de bepaling tijdens onderhandelingen ter sprake is gekomen; g. De wijze waarop de bepaling onderdeel van de overeenkomst is geworden; h. De maatschappelijke kringen van partijen; i. Welke rechtskennis van zodanige partijen kan worden verwacht; j. Mate van beïnvloeding van derden door de overeenkomst; k. Het bestaan van een eventueel mondeling verwoord gemeenschappelijk; uitgangspunt bij de onder­ handelingen; en l. De gebruikelijke praktijk tussen professionele partijen.

Afhankelijk van deze omstandigheden kan men dus beoordelen welke zin partijen aan de betreffende bepaling mochten toekennen, en wat ze redelijkerwijs van elkaar mochten verwachten.

Een bloemlezing van de rechtspraak Sinds een jaar of vijftien komen er geregeld zaken voor de rechter die te maken hebben met het missen van back-ups. Sterker nog: het lijkt de laatste jaren exponentieel toe te nemen. Veel van deze uitspraken zien op data die verloren gaat bij reparatie van computers, maar in mijn optiek kan het e.e.a. vaak 1-op-1 worden toegepast op andere ICTdiensten. Een bloemlezing: De kantonrechter van de rechtbank Amsterdam1 oordeelde in 2013 in een zaak over het kwijtraken van gegevens na een reparatie van een laptop. De eigenaar van de laptop liet de laptop repareren door Expert. Tijdens de reparatie waren de gegevens op de laptop kwijt geraakt. De rechtbank oordeelt in dit geval dat de eigenaar van de laptop een recente back-up van haar gegevens had behoren te maken toen zij de laptop inleverde ter reparatie om het kwijtraken van gegevens te voorkomen. Dat had zij niet gedaan, en daarom was Expert niet aansprakelijk. De eigenaar van de laptop had daarop bedacht kunnen zijn, omdat de algemene voorwaarden die van toepassing waren op de laptop erin voorzag dat de gegevens en instellingen verloren zouden kunnen gaan bij de reparatie. Toch krijgt Expert de deksel op haar hoofd: Expert had namelijk toe­­gezegd dat er eerst contact zou worden opgenomen met de eigenaar van de laptop voor het verkrijgen van het wachtwoord van de laptop om toegang te verkrijgen tot de gegevens.

ICTRecht - 19

In dat geval is er volgens de kantonrechter een afwijkende afspraak gemaakt ten opzichte van de algemene voorwaarden, en had Expert kunnen en moeten begrijpen dat de eigenaar van de laptop de gegevens onaangetast wilde zien. De kantonrechter van de rechtbank Midden-Nederland2 is van mening dat een professional weet, of in ieder geval behoort te weten, dat een upgrade van een besturingssysteem softwarematige risico’s met zich mee kan brengen en dat dit zelfs kan betekenen dat data verloren kan gaan. Zeker wanneer de eigenaar van de laptop, zoals in dit geval, benadrukt dat er geen data verloren mag gaan, had de dienstverlener die voor de upgrade zorgde, moeten kijken of het nog mogelijk was om de data van de laptop veilig te stellen. In principe rust de verantwoordelijkheid voor het maken van back-ups in dit geval dus op de professional. Toch meent de kantonrechter dat niet alle geleden schade (in dit geval € 15.000,- (!)) volledig aan de professional kan worden toegerekend, omdat de schade mede het gevolg is van een omstandigheid die aan de eigenaar van de laptop kan worden toegerekend: Deze had namelijk recenter en vaker back-ups moeten maken. De schade is daarom deels veroorzaakt door zijn eigen schuld. De vergoeding wordt daar­­om ‘slechts’ voor de helft toegewezen. Uit een arrest van het Hof van Amsterdam3 blijkt dat een arbiter heeft geoordeeld dat MKBackup op grond van een overeenkomst aan Gofilex een online back-upoplossing leverde. Toen Gofilex een back-up wilde installeren, bleek dat dit niet mogelijk was doordat één delta bestand van enkele maanden oud corrupt was. MKBackup is ondanks het feit dat het na het corrupte deltabestand geen

20 - ICTRecht

werkende back-up meer kon worden gemaakt, toch statusrapportages blijven sturen waarin melding wordt gemaakt van een succesvolle back-up. Doordat MKBackup niet meer in staat was om een recente back-up terug te zetten is MKBackup volgens de arbiter toerekenbaar te kort geschoten in de nakoming van de back-upovereenkomst. MKBackup meent overigens dat Gofilex niet op de juiste wijze gebruik heeft gemaakt van de software, maar dit kan voor het Hof van Amsterdam niet tot een ander resultaat leiden. De rechtbank Arnhem oordeelde in 20034 over de vraag of een extern systeembeheerder belast is met de verantwoordelijkheid voor het onderhoud en juist functioneren van een netwerk. Het antwoord op die vraag was in deze zaak van belang omdat het back-up systeem van de server in deze zaak klaarblijkelijk al enige tijd voorafgaande aan een crash niet meer functioneerde. Daardoor was er geen back-up van verloren gegane data gemaakt. In deze zaak oordeelde de rechtbank dat het enkele feit dat de externe systeem­ beheerder gedurende een aantal jaren computerapparatuur en software aan afnemer Tip Top heeft geleverd en bij haar heeft geïnstalleerd, onvoldoende is om aan te nemen dat zij als extern systeembeheerder ook belast is met de verantwoordelijkheid voor het onderhoud en het juist functioneren van het netwerk van Tip Top. De rechtbank stelt vervolgens letterlijk dat zo’n belasting met het systeembeheer uitsluitend kan worden aangenomen op basis van een tussen partijen gesloten overeenkomst. In dit geval was er niet zo’n overeenkomst, en dus is er geen sprake van aansprakelijkheid. Daarnaast oordeelt de

rechtbank dat de systeembeheerder ook niet behoorde te weten dat het back-upsysteem niet werkte – er was geen verplichting om de werking van het systeem blijvend te controleren. Het Hof Den Haag5 komt tot eenzelfde oordeel in een zaak tussen Knowledge en een klant. Klant meende dat Knowledge tekort was geschoten door geen back-up systeem bij te houden. Het Hof meent echter dat er geen periodieke onderhoudsverplichting bestond. Ook kon niet worden aangenomen dat Knowledge de verplichting zou hebben om na blijvend te voorzien in een functionerend back-up systeem na storingsherstel buiten specifiek van te voren geaccordeerde opdracht. Hierbij geldt temeer dat Knowledge de klant erop had gewezen dat het back-up systeem dat Knowledge had verzorgd een periodieke oplossing was en dat de klant op zoek moest naar een blijvende oplossing. Daarbij is de klant ook gewezen op het risico van een crash. Omdat dit niet tot een nadere opdracht heeft geleid, meent het Hof dat de klant te onverschillig is omgesprongen met de risicovolle, gebrekkige structuur van het systeem – terwijl klant bij herhaling was gewezen op de risico’s van het gelegde noodverband op de lange termijn. Ook in een zaak bij het Hof van Den Haag6 tussen KPN en Scope wijst de rechter op het belang van afspraken tussen partijen: KPN had het maken van back-ups als extra dienst aangeboden, maar daar was geen opdracht voor overeengekomen. Scope had daarom zelf back-ups van haar database moeten maken ter voorkoming van eventuele schade, te meer nu de gegevens klaarblijkelijk van groot belang waren voor de uitvoering van haar bedrijf.

Het (in mijn optiek) belangrijkste vonnis voor de beoordeling welke omstandig­ heden relevant kunnen zijn bij de vraag wie aansprakelijk is voor schade vanwege het verliezen van data door het missen van een back-up is ook gelijk een van de oudsten.7 De rechtbank stelt hierin letterlijk dat het uitgangspunt geldt dat het maken en bewaren van een back-up in principe behoort tot de verantwoordelijkheid van de gebruiker van een com­­puter­systeem – in dit geval Pro 3. De rechter kwam daartoe omdat het in het algemeen bij het in reparatie geven van een computer nog onduidelijk is welke technische problemen er zijn en hoe deze verholpen kunnen worden. Pas tijdens de reparatie kan worden

vastgesteld of alle data tijdens de reparatie behouden kunnen blijven. Een reparateur kan daarom niet aansprakelijk worden gesteld voor het verloren gaan van data tijdens een reparatie, tenzij daaromtrent voor of tijdens de opdracht duidelijke afwijkende afspraken zijn gemaakt, of dat het verlies van data op grond van andere feiten of omstandigheden voor rekening van de reparateur moeten komen. In dit geval had Pro 3 bovendien zelf een back-up gemaakt, waaruit kan worden afgeleid dat Pro 3 toen nog uitging van haar eigen verantwoordelijkheid voor het maken van back-ups. In dit geval ging het mis omdat Pro 3 de back-ups voortijdig had gewist. De rechtbank rekent dat Pro 3 dus aan:

daardoor heeft Pro 3 onnodig veel risico genomen. Dit geldt te meer nu Pro 3 er een groot economisch belang bij heeft om zo weinig mogelijk gegevens en werk verloren te laten gaan. Doordat Pro 3 zelf onvoldoende voorzieningen heeft getroffen, komt dit voor haar eigen rekening en risico.

Aandachtspunten Uit de rechtspraak valt op te maken dat de hoofdregel is dat een gebruiker zelf verantwoordelijk is voor het maken van back-ups. Factoren die deze verantwoordelijkheid bepalen, zijn met name: • de mate van belang van de gegevens voor de uitoefening van zijn/haar bedrijf;

ICTRecht - 21

Aandachtspunten voor uw back-up voorwaarden Het is aan te raden om altijd duidelijk, specifiek en volledig overeen te komen: • wie verantwoordelijk is voor back-ups; • wanneer de ICTdienstverlener back-up­ verplichtingen heeft; • welke back-up verplichtingen dit dan betreffen (regelen van de software? Maken / controleren / restoren van back-ups?); • wat er geback-upt moet worden

• het economisch belang bij het nietverloren gaan van data bij eventuele computertechnische en niet onvoorzienbare problemen; • de ICT-dienstverlener levert back-ups als extra dienst; • de schade kan worden beperkt door zelf back-ups te maken; • de gebruiker heeft zelf back-ups gemaakt; • de gebruiker heeft niet genoeg of niet recent genoeg back-ups gemaakt; • er is geen specifieke opdracht tot het maken van back-ups; • de ICTdienstverlener heeft voldaan aan zijn plicht om gebruiker te waarschuwen over de risico’s van het niet hebben van een (deugdelijke) back-up’ • de gebruiker springt onverschillig om met het ICTsysteem; en/of • de bekendheid van de gebruiker met risico’s van het verloren gaan van data.

22 - ICTRecht

(data, software, instellingen?); • van wie (inclusief het regelen van eventuele auteursrechtelijke problemen); • door wie de back-ups worden gemaakt (beheerder/hostingprovider/afnemer/ gebruiker?); • wanneer er back-ups worden gemaakt (dagelijks, wekelijks, maandelijks?); • hoe de back-ups worden gemaakt (volledig, incrementeel, progressief, differentieel) en • hoe lang de back-ups worden bewaard (i.v.m. privacywetgeving bijvoorbeeld).

Er is echter een verschuiving van verantwoordelijkheid naar de ICTdienstverlener mogelijk, indien: • de ICTdienstverlener een bijzondere verantwoordelijkheid op zich zou hebben genomen; • er een back-up overeenkomst is gesloten of afwijkende afspraken zijn gemaakt; • de ICTdienstverlener op grond van de door haar verrichte werkzaamheden wist of behoorde te weten dat het systeem niet naar behoren functioneerde, en de gebruiker daarover op de hoogte had moeten stellen; en/of • het verlies op grond van andere feiten of omstandigheden voor rekening van de ICTdienstverlener moet komen; Worden er geen afspraken gemaakt, dan kan dit leiden tot geschillen. De rechtspraak lijkt in dat geval vooralsnog in het nadeel van de gebruiker/afnemer van de ICTdienst.

Wouter Dammers is als advocaat verbonden aan ICTRecht. In 2014 is hij zijn eigen procespraktijk LAWFOX begonnen. Daar­mee helpt hij zijn cliënten op een flexibele en innoverende manier bij juri­dische conflicten in de ICT. Focus, flexibiliteit en nieuwsgierigheid zijn dé kerneigenschappen van deze advocaat. Via LAWFOX vult Wouter ICTRecht aan in het mogelijk maken van de gang naar de rechter.

Bronnen 1

ECLI:NL:RBAMS:2013:BZ5861

2 3

ECLI:NL:RBAMS:2011:BV6934

4 5

ECLI:RBARN:2003:AN8897

ECLI:NL:GHDHA:2013:1067

6 7

ECLI:NL:RBMNE:2013:BY7960

ECLI:NL:GHSGR:2011:BV1678

ECLI:NL:RBARN:2000:AA6236

Auteur: Arnoud Engelfriet Partner

Internetrechtspraak Gerechtshof ’s-Hertogenbosch 6 augustus 2014 (E-mail met bedrijfsnaam)

Gerechtshof ’s-Hertogenbosch 19 augustus 2014 (Belastingdienst opvraging)

Een werknemer verstuurt e-mails vanaf bedrijfsmailadres en met bedrijfsmailhandtekening. Dit merkt het Hof aan als mededeling namens het bedrijf, ook als het bedrijf dat eigenlijk niet wilde (art. 3:35 BW). Als een partij benaderd wordt door de werknemer van een bedrijf, mag deze in het algemeen er vanuit gaan dat dit namens het bedrijf is wanneer briefpapier of mailondertekening met de naam van het bedrijf wordt gebruikt.

Via de dienst SMSParking kunnen automobilisten per sms-bericht betalen voor parkeerheffingen. De Belastingdienst wil inzage in de gegevens van SMSParking B.V. onder meer om privégebruik van zakelijke auto’s of gebruik van auto’s met geschorst kenteken op te sporen. Het Hof kent de vordering toe: een goede belastingheffing is een zwaarwegend belang dat opweegt tegen de privacy van de klanten van SMSParking. Werkwijze voldoet aan eisen van proportionaliteit en subsidiariteit. De Wet bescherming persoonsgegevens staat niet aan afgifte in de weg omdat de overheid nu eenmaal deze gegevens moet kunnen opvragen.

http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:GHSHE:2014:2651

Rechtbank Zeeland-West Brabant 8 oktober 2013 (Aanmaning per e-mail) (Gepubliceerd 9 september 2014) Een geldvordering uit 2006 is niet verjaard nadat per e-mail is aangemaand om te betalen. Hoewel art. 3:317 BW een ‘schriftelijke aanmaning’ of ‘een schriftelijke mededeling waarin de schuldeiser zich ondubbelzinnig zijn recht op nakoming voorbehoudt’ vereist, moet dit uitgelegd worden gelet op het doel van stuiting: de schuldenaar waarschuwen dat de schuldeiser geen afstand van zijn eis zal doen, zodat de schuldenaar bijvoorbeeld bewijs kan bewaren. In die uitleg is ook een e-mail genoeg. http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBZWB:2013:10246

http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:GHSHE:2014:2803

Gerechtshof Amsterdam 19 augustus 2014 (Usenet aanbieden) News-Service Europe is een aanbieder van Usenettoegang, een internetdienst waarmee (onder meer) illegaal aanbod aan films, series en muziek kan worden gedownload. Dit aanbod wordt door andere gebruikers geplaatst, en NSE beroept zich op de beperking voor aansprakelijkheid van dienstverleners (art. 6:196c BW). De rechtbank had dit beroep afgewezen en NSE veroordeeld wegens auteursrechtinbreuk door het zelfstandig openbaar maken van het aanbod. In hoger beroep wordt anders beslist: het zijn de gebruikers die het initiatief nemen tot het uploaden

ICTRecht - 23

van berichten op het Usenet, en NSE heeft daarin geen actieve bemoeienis. NSE moet wel een efficiënte Notice/ Takedown-procedure implementeren om prompt materiaal te verwijderen dat illegaal geplaatst is. http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:GHAMS:2014:3435

op sociale media die de zaak gaf (de sollicitant had de geforwarde mail gepubliceerd) is nadrukkelijk geen reden voor strafvermindering. http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBGEL:2014:5457

Rechtbank Den Haag 3 september 2014 (Uitlenen ebooks) Rechtbank Noord-Nederland 27 augustus 2014 (Bewijsbeslag Dropbox) In een geschil wordt bewijsbeslag (art. 843a Rv) gelegd met als doel bewijs te verkrijgen dat er bedrijfsgeheimen zijn ontvreemd. Hierbij worden onder meer een computer doorzocht, mails opgevraagd en zonder succes gepoogd een Dropbox-account te benaderen. Deze handelingen blijken niet gedekt door het verlof: beslag mag ook slechts worden gelegd op de in het verzoekschrift genoemde bescheiden. Bewijsbeslag mag geen fishing expedition worden (zie ook ECLI:NL:HR:2013:BZ9958 en ECLI:NL:GHARL:2014:2005). In de hoofdzaak wordt vervolgens bepaald dat het enkele doorsturen van mails naar privé­ adres onvoldoende bewijs oplevert dat bedrijfs­gheimen zijn ontvreemd. http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBNNE:2014:4181

Rechtbank Gelderland 27 augustus 2014 (Sollicitatiemail) De verdachte forwardde een sollicitatiemail richting een collega met als tekst “Het is niks. Ten eerste het is een donkergekleurde (neger). En op zijn cv weinig tot geen ervaring met computers enz”. Per abuis gaat een kopie naar de sollicitant, die aangifte doet van discriminatie in de uitoefening van beroep of bedrijf. De rechtbank ziet in de tekst evident discriminatie, aangezien het ras als eerste reden wordt genoemd. Dat de tekst als grap bedoeld zou zijn, blijkt nergens uit. Veertig uur werkstraf. De onrust

24 - ICTRecht

De Vereniging Openbare Bibliotheken (VOB) eist in een zaak tegen stichting Leenrecht een verklaring voor recht dat het uitlenen van ebooks door een bibliotheek legaal is mits een billijke leenvergoeding betaald wordt. Nu de Europese Leenrechtrichtlijn niet duidelijk is op dit punt, worden prejudiciële vragen gesteld (nadat partijen zich hebben mogen uitlaten over de vragen). http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBDHA:2014:10962

Rechtbank Rotterdam 4 september 2014 (webcamhacker) De verdachte had stelselmatig webcams van slachtoffers via internet aangezet door verspreiding van malware waarmee hij op afstand deze kon controleren zonder dat slachtoffers dit merkten. Hij categoriseerde de binnengehaalde beelden, waaronder veel beelden van jonge meisjes in intieme situaties. Ook nam hij kinderporno over van andere gehackte computers en heeft hij de computer van een ander gebruikt om de examenfraudezaak uit 2013 aan het licht te brengen. Een jaar voorwaardelijke celstraf en 120 uur taakstraf. http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBROT:2014:7379

Hof van Justitie EU 11 september 2014 (Dienst van de informatiemaatschappij)

Een dienst is ook een “dienst van de informatiemaatschappij” (art. 3:15d BW) als niet door de klanten maar door adverteerders wordt betaald voor de dienst. Een online krant is daarmee een dergelijke ‘dienst’, maar kan zich niet op een beperking van aansprakelijkheid (art. 6:196c BW) beroepen omdat zij selecteert wat er online verschijnt.

personen, aldus de rechtbank, niet te beschermen tegen alle negatieve berichten op internet, maar alleen tegen het langdurig ‘achtervolgd worden’ door berichten die ‘irrelevant’, ‘buitensporig’ of ‘onnodig diffamerend’ zijn. Hiervan is geen sprake bij zoekresultaten die een strafrechtelijke veroordeling uit 2012 van de eiser betreffen. Zie de noot op pagina 29.

http://curia.europa.eu/, zaaknr. C‑291/13.

http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBAMS:2014:6118

Rechtbank Amsterdam 12 september 2014 (Wanbetalersregister) Op de site “Nationaal wanbetalersregister” houdt de gedaagde een openbaar toegankelijke databank bij van bedrijven die kennelijk facturen niet tijdig betalen (althans volgens opgaaf van hun schuldeisers). Een eenmanszaak wordt opgenomen in de databank en deze maakt bezwaar op grond van de Wet bescherming persoonsgegevens. Het register an sich wordt niet onrechtmatig geacht maar dit levert wel een verwerking van persoonsgegevens op, aldus de rechtbank. Naam van de eenmanszaak is een persoonsgegeven. Het beroep op journalistieke doeleinden (artikel 3, lid 1, Wbp) wordt afgewezen omdat er geen “eigen meningsvorming” plaatsvindt, maar de databank eerder gewoon een zwarte lijst is waarvoor strenge regels gelden (onder meer voorafgaand onderzoek Cbp).

Gerechtshof ’s-Hertogenbosch 25 september 2014 (Kleurverschieten domeinnaam) LMR Advocaten eist van LR Advocaten dat de laatste de handelsnaam aanpast en de domeinnaam lradvocaten. nl afstaat, beiden wegens inbreuk op hun handelsnaamrecht. Na vonnis wordt de domeinnaam enkel nog gebruikt om door te linken naar de nieuwe website onder andere naam. Dit is geen handelsnaaminbreuk. Domeinnaam kan handelsnaam worden wanneer deze als bedrijfsnaam wordt gevoerd (ECLI:NL:GHAMS:2006:AZ6080). Dit mag een tweede, minder prominente bedrijfsnaam zijn. Daarvan is hier geen sprake. Doorverwijzen is geen handelsnaaminbreuk. http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:GHSHE:2014:3836

http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBAMS:2014:5938

Gerechtshof Amsterdam 25 september 2014 (iPad is geen computer) Rechtbank Amsterdam 18 september 2014 (Geen recht tot vergeten strafrechtelijk feit) Zoekmachine Google Search hoeft de gegevens van een veroordeelde man niet te verwijderen op grond van het Google/Costeja-arrest (HvJ EU 13 mei 2014, zaaknr. C-131/12). Eis uit dit arrest is immers dat de vermelding ontoereikend, niet of niet meer ter zake dienend (irrelevant) of bovenmatig is. Het Costeja-arrest beoogt

Een iPad is een communicatiemiddel en geen computer in de zin van de Wet op de loonbelasting 1964. Daarmee mag een iPad vrij verstrekt worden (onder oud recht) aan werknemers. Het Hof laat de beperkte functionaliteit voor tekstinvoer (word processing en dergelijke) versus de uitgebreide communicatiefunctionaliteit de doorslag geven. Computers gebruik je voor tekstverwerken, je iPad voor (spelletjes en) communiceren. Ook wordt het gebruik

ICTRecht - 25

minstens 10% zakelijk geacht, zeker na de introductie van het internetmedewerkersportal van de werkgever. Echter, iPads zijn geen vakliteratuur, ook niet als men bedenkt dat vakliteratuur gelezen kan worden op een iPad. http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:GHAMS:2014:3946

Autoriteit Consument en Markt 26 september 2014 (Affiliatenetwerk betrokken bij spam)

één seconde groen oplicht) in combinatie met de optie een printout van reizen te verkrijgen bij de balie, genoeg is om deze equivalentie te verkrijgen. http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:CBB:2014:357

College van Beroep voor het bedrijfsleven 30 september 2014 (Verzender spam)

Het bedrijf Daisycon was als affiliate netwerk betrokken bij de verzending van in totaal ruim twee miljard ongevraagde commerciële e-mailberichten zonder dat de toestemming van ontvangers daarvoor is aangetoond. Daarnaast konden de ontvangers zich niet effectief afmelden voor de commerciële e-mails. Het bedrijf opereert als schakel tussen enerzijds adverteerders, die promotiemateriaal willen verspreiden, en anderzijds publishers, die over adressenbestanden beschikken en voor de feitelijke verzending van de berichten zorgen. ACM merkt Daisycon aan als (mede-)overtreder vanwege haar actieve rol die meer is dan slechts faciliteiten verzorgen.

Een bedrijf biedt de mogelijkheid e-mailreclames te versturen naar grote hoeveelheden ontvangers, vaak zonder de vereiste voorafgaande toestemming opt-in. Men komt op tegen een boete van de ACM voor het versturen van deze reclame met het verweer dat niet het bedrijf maar de opdrachtgever de ‘verzender’ is: men biedt slechts de faciliteit en de ontvangerslijst. Hulppersonen rekent het College niet tot de verzenders als zij naar maatschappelijke opvatting de verantwoordelijkheid voor de verzending niet dragen. Bij invoering wet werd uitgesloten de provider die alleen de elektronische overbrengingsfaciliteit biedt. Echter, door het zelf aanbieden van een lijst met ontvangers heeft het bedrijf zichzelf toch tot ‘verzender’ gemaakt.

https://www.acm.nl/nl/publicaties/publicatie/13342/ACMlegt-boete-op-voor-overtreding-spamverbod/

http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:CBB:2014:371

College van Beroep voor het bedrijfsleven 29 september 2014 (Bewijzen inchecken OV)

Rechtbank Rotterdam 3 oktober 2014 (Computer is radio)

Op grond van Verordening (EG) nr.1371/2007 is een vervoerder van openbaar vervoer verplicht bewijs te verschaffen aan reizigers dat zij ingecheckt zijn. Bij elektronische kaartjes (zoals onze ov-chipkaart) moeten maatregelen genomen worden die equivalentie aan papieren kaartje opleveren. Doel van de voor de reiziger geldende norm is dat deze niet voor verrassingen wordt gesteld bij een controle. Het Cbb bepaalt dat de incheckpaal (die

Boete en last onder dwangsom wordt opgelegd wegens illegale radio-uitzending. De verdachte gebruikte een elders opgestelde antenne waarbij hij via internet vanaf zijn computer de uitzendingen samenstelde. Nu uit de wetsgeschiedenis blijkt dat de term ‘radiozendapparaat’ breed uitgelegd moet worden, wordt deze opstelling onder de wet gerekend.

26 - ICTRecht

http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBROT:2014:8049

Rechtbank Midden-Nederland 13 oktober 2014 (Bestuursrecht per e-mail)

Rechtbank Gelderland 21 oktober 2014 (Frauduleuze praktijken)

De eigenaar van een perceel grond maakt bezwaar tegen last onder dwangsom tot verwijdering van een schuur door de gemeente. Na uitgebreide e-mailcorrespondentie over hoe hieraan gehoor te geven, kondigt de gemeente aan de dwangsom op te eisen. Discussie ontstaat of deze aankondiging – gedaan per email – wel correct is gedaan (art. 2:14 lid 1 Awb). Rechtbank oordeelt van wel: eigenaar was voldoende bereikbaar per mail. Echter, aankondiging toch niet bindend omdat deze in bijlage (PDF bestand) was gedaan welke de ontvanger niet kon openen op zijn nieuwe woonadres in Frankrijk. “Het is immers algemeen bekend dat er, afhankelijk van bijvoorbeeld het e-mail­ account van de ontvanger of van de apparatuur die hij gebruikt of het netwerk op de plaats van ontvangst, problemen kunnen optreden bij het openen van bijlagen bij e-mailberichten.” Gemeente slaagt niet in het bewijs dat de bijlage redelijkerwijs te openen was.

Eiser maakt bezwaar tegen gedaagdes website waarop deze beschrijft hoe zijn contacten met eiser zijn verlopen. De tekst is neutraal en stemt tot aandacht zoeken voor vermeende misstand. Kwalificaties “fraude” en “frauduleuze praktijken” zijn wel onrechtmatig omdat onvoldoende bewijs voorhanden is. Domeinnaam (met woord ‘fraude’ erin) en website moeten worden veranderd.

http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBMNE:2014:4876

Rechtbank Amsterdam 15 oktober 2014 (Overeenkomst van opdracht) Een stichting met als doel kankerbestrijding laat mailings per post versturen door een opdrachtnemer. Hierbij gaan diverse dingen mis: mensen ontvangen uitslagen van andermans medisch onderzoeken, en adreslijsten e.d. worden per onbeveiligde mail verstuurd. De stichting eist dat eerst een beveiligd kanaal wordt opgezet en ontbindt per e-mail nu dat niet gebeurt. Dit wordt rechtsgeldig geacht. http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBAMS:2014:6727

http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBGEL:2014:6662

HvJ EU 21 oktober 2014 (Embedden geen auteursrechtinbreuk) In vervolg op HvJEU 13 februari 2014 (Svensson) waarin het hyperlinken of framen naar legaal internetaanbod als geen inbreuk werd aangemerkt, wordt nu ook het embedden van foto’s of films als niet inbreukmakend aangemerkt. Vereiste is wel dat er geen beveiligingsmaatregel wordt omzeild en dat er ook geen “speciale technische procedure” wordt gehanteerd die zich onderscheidt van de oorspronkelijke weergave. Oftewel: gebruik de officiële player en geen eigen weergavesoftware. http://curia.europa.eu, zaaknr. C-348/13

Rechtbank Den Haag 22 oktober 2014 (Keywordgebruik van merk) Bij diverse Google-advertenties wordt het merk van eiser als keyword gebruikt. Dit wordt echter geen inbreuk geacht, omdat het gebruik uitsluitend strekt tot het aanbieden van de merkproducten. Pas als de advertenties onduidelijk zouden zijn over van wie zij afkomstig zijn, of de indruk wekken dat de adverteerder een geautoriseerd dealer is van de merkhouder, zou dit anders worden.

ICTRecht - 27

Eén advertentie wordt wel afgekeurd omdat hier het merk wordt genoemd maar de advertentie naar een alternatief product leidde.

http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBNHO:2014:9955

http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBDHA:2014:13292

Rechtbank Amsterdam 29 oktober 2014 (Testen van software)

Rechtbank Den Haag 23 oktober 2014 (AIVD-tapstatistieken) Een journalist vraagt om openbaarmaking van het aantal taps van de AIVD per jaar. Minister en nu rechtbank wijzen dit af met een beroep op de nationale veiligheid. De rechter oordeelt dat als het aantal taps per jaar door de AIVD over een langere periode wordt afgezet tegen de bekende dreigingen en technologische ontwikkelingen hierdoor wel inzicht kan worden verkregen in de werkwijze van de AIVD, zoals de capaciteit, de focus en de slagkracht van de AIVD, waarop personen en organisaties die in de aandacht van de AIVD staan, kunnen inspelen. Rechtbank verwacht wel dat dit in de toekomst anders kan worden. http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBDHA:2014:13003

Rechtbank Noord-Holland 29 oktober 2014 (Overeenkomst via internet) Een verzekeraar stelt een verzekeringsovereenkomst met gedaagde te hebben en wil de premies incasseren. De gedaagde ontkent deze te hebben gesloten. De verzekeraar overlegt een printscreen die aantoont dat er gegevens via haar website zijn aangeleverd, maar dit is geen bewijs dat de gedaagde partij zelf het aanvraagformulier heeft ingevuld. Niet uitgesloten kan worden dat een derde dit heeft gedaan. Dat de verzekeraar geen handtekening heeft gevraagd, moet voor haar risico komen.

28 - ICTRecht

Een bedrijf heeft software in gebruik en wil migreren naar een ander platform (Linux in plaats van Windows). Hiertoe installeert zij een kopie van de software in een testomgeving. De licentiegever merkt dit als een schending aan omdat er nu meer kopieën in gebruik zijn dan toegestaan onder de licentie. De tekst van de overeenkomst geeft de licentiegever gelijk. Echter, deze situatie wordt in strijd met artikel 45j Auteurswet geacht: men mag bij overeenkomst het verveelvoudigen voor testen en interoperabel maken met andere software niet verbieden. http://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBAMS:2014:7005

College van Beroep voor het bedrijfsleven 5 november 2014 (Doorverkoop tickets) ACM legt een boete op aan een doorverkoper van tickets. Deze meldt volgens ACM niet duidelijk genoeg dat de tickets niet doorverkocht mogen worden op grond van de algemene voorwaarden van de oorspronkelijke verkopers, hetgeen een misleidende handelspraktijk oplevert. CBb constateert dat de ongeldigheid van doorverkochte tickets nog onderwerp is van juridische discussie, zodat van de doorverkoper niet mag worden gevergd dat deze een waarschuwing hierover op zijn site moet opnemen. http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:CBB:2014:412

Auteur: Arnoud Engelfriet Partner

Recht te worden vergeten? Noot bij Rechtbank Amsterdam

18 september 2014, ECLI:NL:RBAMS:2014:6118 Hoe ver reikt het recht te worden vergeten op internet? Met die vraag zag de rechtbank Amsterdam zich in september geconfronteerd toen een man zich meldde met de eis Google te bevelen aan hem gebonden zoekresultaten onzichtbaar te houden. Dit geval was toch opmerkelijk: het ging niet om gênante oude teksten of foto’s, of een Facebookprofiel dat men maar eens moest vergeten, maar om een ophefmakende moordzaak uit 2012. Moet Google deze informatie nu al onzichtbaar maken?

In een baanbrekend arrest in mei dit jaar (zaak C-313/12, Costeja vs. Google) bepaalde het Hof van Justitie dat Google een eigen verantwoordelijkheid heeft bij zoekresultaten die zij presenteert wanneer op persoonsnamen wordt gezocht. Google mag niet meer eenvoudigweg doorverwijzen naar de bronnen van die informatie maar moet zelf een afweging maken tussen de privacy van de klager en de informatiewaarde van de publicaties. Sinds het arrest heeft het bedrijf volgens eigen zeggen 169.500 verzoeken ontvangen. De casus uit het Costeja-arrest betrof een publicatie uit 1998 die in 2010 opdook in Google-zoekresultaten via een krantenarchief. Het onderwerp van de publicatie wilde dit verwijderd, omdat het bericht achterhaald en irrelevant was geworden. (Hij had in 1998 een beslaglegging tegen zich gekregen maar dat was al lang weer opgelost.) Het Hof bepaalde dat zoekresultaten van een online zoekmachine onder de Wet bescherming persoons­gegevens (Wbp) vallen.

Er worden per­soonsgegevens verwerkt op die manier, want het verzamelen, indexeren en (na zoekopdrachten) tonen daarvan valt onder de zeer brede definitie die de wet hanteert. Dit is in lijn met het al wat oudere Lindqvistarrest (C-101/01). Belangrijk is wel dat het Hof zegt dat dit óók geldt als men alleen maar informatie van elders plukt en die in een eigen volgorde et cetera vormgeeft. Dus ook als er niets verandert aan de informatie. Privacy vervalt niet wanneer de informatie al ergens openbaar is. En privacy stopt ook niet enkel omdat de informatie juist is. Iedere (her-)publiceerder moet een eigen rechtvaardiging hebben onder de privacywet om informatie te mogen publiceren of gebruiken. Zeker voor partijen als Google, die een ‘beslissende rol’ spelen bij de wereldwijde verspreiding van de persoonsgegevens in kwestie. En vanwege die belangrijke rol die Google zichzelf zo aanneemt, is het wenselijk dat Google gewoon aan de privacywet gehouden wordt, zo bepaalt het Hof. De privacy online bestaat niet daadwer-

kelijk als Google buiten de Wbp zou vallen. Een stevige stelling. Zoekmachines kunnen onder normale omstandigheden hun aansprakelijkheid beperken (art. 6:196c BW, vgl. HvJ zaken C-329/04 en C-236/08). Dit argument komt in deze zaak niet aan de orde; mogelijk omdat de e-commercerichtlijn (waarin deze bescherming is geregeld) expliciet zegt dat deze niet van toepassing is op diensten die onder de privacyrichtlijn 95/46/EG vallen. Daarmee is er geen grond voor Google om verantwoordelijkheid te ontlopen. Het Hof maakt expliciet onderscheid tussen de informatie op de bronsite en de informatie zoals gepubliceerd door Google. Het is goed mogelijk dat informatie wél op de bronsite mag staan maar niet via Google te vinden is, althans niet met een op de persoon gerichte zoekopdracht. Krantenarchieven en andere bronsites hebben dus niets te vrezen van dit arrest (en terecht; zie ook EHRM zaaknr. 33846/07 W grzynowski vs. Polen).

ICTRecht - 29

Ook betekent het niet dat Google nu direct na een klacht van alles moet blokkeren. De klacht moet wel terecht zijn. Zo zou een actueel en relevant journalistiek artikel over iemand niet uit een gerichte zoekopdracht over die persoon hoeven te worden verwijderd. Een verouderd en irrelevant artikel wel. En het Hof zegt daarbij dat “in beginsel” de privacy het wint van de informatievrijheid/meningsuiting - wat een opmerkelijke is, want de standaard is dat twee grondrechten gelijkwaardig zijn en de afweging per geval moet gebeuren. In het kader van privacy zegt het Hof dat enkel bij “bijzondere redenen, zoals de rol die deze persoon in het openbare leven speelt” de informatievrijheid het kan winnen.

boek laten staan. Ook weigerde men de autocompletesuggestie aan te passen.

Hoe valt dit nu uit in de casus die de rechtbank Amsterdam voor zich kreeg dit jaar? De eiser in deze zaak was veroordeeld voor poging tot uitlokking van huurmoord. Deze spraakmakende poging maakte nogal wat los in de pers, onder meer kreeg de zaak in mei 2012 aandacht in het SBS-programma van misdaadverslaggever Peter R. de Vries. Hij was te zien in gesprek met een vermeende huurmoordenaar en besprak hoe een concurrent vermoord kon worden. Ook leidde de zaak onder meer tot een boek waarin een personage met de naam van deze man opgevoerd werd als opdrachtgever van een huurmoord.

Wanneer iemand voor een ernstig strafbaar feit wordt veroordeeld en dit publiciteit geeft, dan is niet snel voldaan aan deze eis. In ieder geval niet in deze zaak, want het gaat om zakelijke berichtgeving en fictie-verhalen, geen ‘scheldpartijen’ (aanhalingstekens in origineel). In de woorden van de rechtbank: “Aangenomen moet dus worden dat eiser recentelijk een ernstig strafbaar feit heeft gepleegd. Dat heeft tot veel publiciteit aanleiding gegeven, onder meer een televisie-uitzending, diverse perspublicaties en een op de gebeurtenissen gebaseerd, deels fictief, boek. Thans heeft eiser de gevolgen van zijn eigen handelen te dragen.”

Via Google was er op de naam van deze man behoorlijk wat informatie te vinden, inclusief een autocomplete suggestie van Google: wie ’s mans naam intypte in de zoekmachine, kreeg automatisch aangedragen dat “peter r de vries” wel eens een relevante verfijning kon zijn. Google had op verzoek een aantal pagina’s verwijderd maar onder meer de pagina’s over dat

30 - ICTRecht

De rechtbank stelt voorop dat “terughoudendheid is geboden” bij vorderingen als deze. Zoekmachines als Google Search vervullen immers een belangrijke maatschappelijke functie. Natuurlijk is ook privacy een belangrijke maatschappelijke functie, en moet ook Google daar rekening mee houden. Echter, zoals de rechtbank het formuleert, het arrest beoogt personen niet te beschermen tegen alle negatieve berichten op internet, maar alleen tegen het langdurig ‘achtervolgd worden’ door berichten die ‘irrelevant’, ‘buitensporig’ of ‘onnodig diffamerend’ zijn.

De algemene eis dat zijn naam niet meer gevonden mag worden, wordt afgewezen. De beslissing om iets al of niet te tonen, moet afhangen van de informatie die gekoppeld is aan de zoekopdracht. Categorisch een naam onvindbaar maken kan dus niet.

Het uitschakelen van de autocompletefunctie hoeft ook niet. Dit is een automatische suggestie, en niet onlogisch gezien wat er bekend is. “Ook afgezien daarvan valt niet aanstonds in te zien dat de gebruiker van Google Search de autocomplete-suggestie zal opvatten als (betrouwbare) informatie die iets toevoegt aan de links waarnaar de gebruiker wordt verwezen.” Er wordt dus niets nieuws gemeld. Ook de zin “Sommige resultaten zijn mogelijk verwijderd” hoeft niet weg. Deze zin wordt tegenwoordig altijd getoond bij zoekopdrachten naar personen. Het is immers niet handig dit alleen te tonen als er daadwerkelijk resultaten zijn verwijderd, aangezien er dan juist aandacht op die verwijdering wordt gevestigd. Alles bij elkaar ziet de rechtbank geen grond om het verzoek van de eisende man toe te wijzen. Logisch en begrijpelijk, gezien deze feiten. Maar het zet wel de toon: iedereen die nu bij de rechter een verwijdering wil gaan eisen, komt in de schaduw te staan van dit vonnis en dat geeft toch een vervelende achterstand. En dat is jammer. Het ‘vergeetrecht’ – zoals het Costeja-arrest is gedoopt – gaat niet over het vergeten van crimineel gedrag of verbergen van maatschappelijke ophef. Het gaat juist over kleine, gênante, achterhaalde of irrelevant geworden zaken die mensen langdurig blijven achtervolgen. Dát is waar Google op in moet grijpen. Maar door zaken als deze ontstaat er bij elk verzoek nu een sfeertje van “wat heb jij te verbergen” en “terroristen willen ook graag vergeten worden”.

Auteur: Maarten Braun Juridisch adviseur

Nieuwe regels voor het rekenen van btw aan buitenlandse consumenten Levert u diensten aan consumenten in andere landen dan Nederland? Dan zult u vanaf januari 2015 te maken krijgen met complexe nieuwe btw-regels. U moet dan namelijk de btw rekenen die geldt in het land waar de consument gevestigd is of waar hij de dienst afneemt. En bepalen welk land dat is, zal niet meevallen. Afgelopen zomer is de consumentwet­ geving grondig herzien. Vanaf 1 januari 2015 treedt er wederom een nieuw stukje consumentenwetgeving in werking. Ditmaal geen nieuwe rechten voor consumenten maar een nieuwe wijze van btw berekenen op de prijzen die een consument moet betalen. Wat gaat er veranderen? Kort gezegd komt het erop neer dat een ondernemer die elektronische diensten aan consumenten levert uit de categorieën ‘telecommunicatiediensten’, ‘omroepdiensten’ of ‘diensten die worden verricht langs elektronische weg’, de btw bij de prijs moet rekenen zoals die geldt in het land waar de consument gevestigd is.Een ondernemer die bijvoorbeeld cloudopslag levert, zal vanaf januari dus verschillende eindprijzen moeten hanteren en verschillende bedragen moeten

afdragen. Voorheen kon een Nederlandse leverancier gewoon aan alle consumentklanten in Europa de Nederlandse 21% rekenen, maar onder de nieuwe regelgeving moet hij aan bijvoorbeeld een Duitse consument 19% rekenen, een Luxemburgse 15% en een Deense 25%. Dit zal tot onduidelijke prijzen leiden. Prijzen moeten aan consumenten immers inclusief btw worden weergegeven en verschillen nu dus per type klant.

Achtergrond De juridische basis voor deze regelwijziging is EU Uitvoeringsverordening nr. 1024/2013. Deze uitvoeringsverordening is een laatste stap van een pakket aan regelgeving die ook wel het btwpakket wordt genoemd. De genoemde verordening waaruit de regels voortkomen

is eigenlijk een wijziging van de uitvoeringsverordening van de oorspronkelijke verordening (282/2011). Beiden regelen de uitvoering van hetgeen in Richtlijn 2006/112 is vastgelegd, namelijk het gemeenschappelijke stelsel van belasting over de toegevoegde waarde, de btw. Doel is om de belasting daar af te dragen waar er ook gebruik wordt gemaakt van de dienst. Daarnaast wordt er zo geprobeerd om een eerlijker speelveld te creëren voor ondernemers, omdat ondernemingen die gevestigd zijn in een land met lager tarief niet meer een concurrentievoordeel genieten ten opzichte van landen met een hoger tarief. Dat eerlijkere speelveld is natuurlijk een prima gedachte, echter of het de ondernemers hiermee makkelijker wordt gemaakt, dat valt te betwijfelen. Houdt

ICTRecht - 31

daarbij maar eens het voorbeeld van de Duitse, Luxemburgse en Deense klant in het achterhoofd.

Welke diensten? De nieuwe btw-regel geldt niet voor alle overeenkomsten met consumenten. Het gaat om levering van telecommunicatiediensten, omroepdiensten en diensten die worden verricht langs elektronische weg. Bij het begrip telecommunicatiediensten moet u met name denken aan telefoondiensten, maar ook het aanbieden van VoIP en Internettoegang valt hieronder. Omroepdiensten betreft het aanbieden van televisie en radioprogramma’s. Dit kan ook via internet, maar het moet gaan om programma’s die volgens een vast schema worden uitgezonden en onder een redactionele verantwoordelijkheid vallen. Online toegang tot bijvoorbeeld films valt hier weer niet onder: de gebruiker kan zelf de content oproepen. De verordening sluit dit ook uit als omroepdienst. De breedste categorie zijn de langs elektronische weg verrichte diensten. Hier valt een heel scala aan diensten onder. De belangrijkste zijn: Het aanbieden van software in digitale vorm (downloads); • Updates, plugins etc. voor software aanleveren • Aankopen en betalingen middels apps (“in app aankopen”) • Hosting van websites, e-mail en dergelijke; • Cloudopslag en software-as-a-service diensten; • Toegang tot audiovisuele content, bijvoorbeeld Netflix; • Onderwijs op afstand;

32 - ICTRecht

• Kopen van e-books; • Abonnementen op digitale tijdschriften en toegang tot losse artikelen, zoals Blendle; • Toegang tot websites, zoals betaalde nieuwswebsites. De volledige lijst vindt u in de bijlage bij uitvoeringsverordening 282/2011. Belangrijk is dat de aankoop van fysieke producten hier niet onder valt, dus ook niet bijvoorbeeld aankopen van software op een fysieke drager. Hiervoor geldt dat de btw gerekend moet worden naar het land waar de verkoper is gevestigd. Aanbieders van software die zowel digitale versies als versies op een drager aanbieden, zijn dus onderworpen aan twee regimes, wat best een lastige

situatie is. Daarbij moeten zij voor de digitaal geleverde diensten ook nog eens per land verschillende prijzen hanteren.

Vaststellen waar klant gevestigd is Omdat dienstverleners het btw-tarief moeten rekenen aan de consument conform het land waar de dienst wordt afgenomen, moet hij vaststellen waar de klant zich bevindt. Dit is een lastig proces omdat hier geen eenvoudige technische maatregelen voor zijn. Hier moet dus over worden nagedacht. Conform de Nederlandse consumentenwetgeving is een vaststelling in het bestelproces te laat, al bij het aanbod moet de prijs van de dienst volledig worden weergegeven, inclusief relevante

Tot slot is er nog de aangifte verplichting, wellicht op voorhand het meest lastige aan de nieuwe regels. De ondernemer ontvangt van de consument het aankoopbedrag, inclusief de btw. Hij moet dit uiteindelijk weer correct afdragen, via de aangifte. Om te voorkomen dat een ondernemer zich nu in alle lidstaten moet registreren, omdat hij belastingplichtig is in het land waar zijn afnemers zitten, is het mogelijk om alles via de Belastingdienst te laten lopen. Het 30

Bij de hierboven genoemde vaststelling moet er vastgesteld worden of er sprake

btw-tarieven van andere Europese landen

%

27

25

25

24

20

23

22

20

19

15

14

10

10

21 15 12

10

10 6,5

5,5

5

20

18 13

7

5

2,1

10 6

6

4

3

Laag btw tarief

rij

k

nd

en st Oo

de

rla

rg Ne

xe

m

bu

lië Lu

Ita

ije ng

ar

d nl ke ie

Ho

an

ijk Gr

an

kr

d an nl Fi

nd la

Zeer laag btw tarief

Fr

ne

m

ar

ke

n

0

De

Bovendien moet een dienstverlener twee afzonderlijke, niet tegenstrijdige bewijsstukken hebben. Dus én bankgegevens én adresgegevens (of een andere combinatie). Niet tegenstrijdig houdt in dat het IP-adres niet uit een ander land mag komen dan bijvoorbeeld het land waar de consument gevestigd is. Voor een aantal diensten is hier een uitzondering op, zoals voor bijvoorbeeld het aanbieden van Wi-Fi in hotels. De klant is daar immers niet gevestigd.

Nederlandse dienstverleners kunnen een zogenaamde one-stop-shop registratie doen bij de Nederlandse Belastingdienst. Dit geldt voor elke Europese lidstaat en het systeem wordt kortweg MOSS (minione-stop-shop) genoemd. Er kan dan per land/per klant worden aangegeven hoeveel daar ‘verkocht is’ en vervolgens zal achter de schermen door de Belastingdienst het geld naar het desbetreffende land worden doorgestuurd. Hoewel de achtergrond begrijpelijk is en er via de MOSS wel wordt meegedacht aan de veranderingen, is het vooral de praktijk (prijzen op websites, achterhalen van klantgegevens) die zorgelijk is en het de vraag is of dienstverleners internationaal blijven opereren of zich toch maar weer op een enkel land gaan richten, iets dat juist niet de bedoeling is.

One stop shop

its

Daar komt bij dat deze gegevens 10 jaar bewaard moeten gaan worden. De huidige fiscale regels kennen een bewaartermijn van 7 jaar. Daarnaast, zonder daar dieper op in te gaan, strookt dit wellicht niet altijd met andere regelgeving. Het opslaan van creditcardgegevens is aan regels gebonden en uiteraard moet er voor de verwerking van persoonsgegevens soms toestemming worden verkregen.

zou simpelweg te lastig zijn om in elk land een registratie uit te voeren en ook in elk land aangifte te doen. Stel dat er bijvoorbeeld maar één Oostenrijkse klant was, je zou dan van alles in Oostenrijk moeten regelen voor wellicht maar een paar tientjes.

is van een consument of juist van een zakelijke afnemer. Dit in verband met de vaststelling of een afnemer nu wel of niet belastingplichtig is. Behoudens tegenbewijs is het btw-nummer daarvoor volgens de verordening de meest duidelijke vaststelling. Vult een zakelijke afnemer geen btw-nummer in en is er verder geen aanleiding om aan te nemen dat er sprake is van een niet consument, zal er gehandeld moeten worden als of de klant een consument is. Zaak is dus dat elke dienstverlener in het bestelproces/ formulier in ieder geval het nummer vraagt.

Du

belasting. Wellicht is via herkenning van een IP-adres een prijsvaststelling mogelijk en zo via dynamische prijsweergave altijd de juiste prijs weer te geven. Het vaststellen van de vestigingsplaats kan volgens de verordening op verschillende manieren. Het gaat hierbij dus hoe een ondernemer vaststelt door welke klant, uit welk land de dienst wordt afgenomen. Dit is onder andere via het al genoemde IP-adres, via netnummers/ codes bij afname telefonie, het ingevulde vestigingsadres zelf en bijvoorbeeld via betaal/bankgegevens. Er moet dus ook heel wat geregistreerd en/of gevraagd gaan worden. Dat is immers belangrijk voor de administratie en de aangifte en is bovendien een verplichting.

Hoog btw tarief

Bron: http://ec.europa.eu/taxation_customs/resources/documents/taxation/vat/how_vat_works/rates/vat_rates_en.pdf

ICTRecht - 33

Auteur: Lisette Meij Juridisch adviseur Opleidingscoördinator

Trainingsprogramma 2015 34 - ICTRecht

ICTRecht verzorgt een scala aan juridische trainingen, zowel voor de advocatuur als voor het algemeen (technische) publiek. Onze docenten zijn gespecialiseerd in zowel de juridische als de technische kant van de verschillende niches van het ICT- en internetrecht. Wilt u meer informatie over onze trainingen of u aanmelden?

Consumentenrecht op internet, 6 PO

De privacyverordening in de praktijk, 6 PO

Sinds juni 2014 is de wetgeving rond e-commerce veranderd. Zo is het herroepingsrecht uitgebreid en heeft de consument meer rechten. Wat betekent dit voor webwinkels en online dienstverleners? We bespreken het recht rond koop op afstand, acquisitie per telefoon, conformiteit, retourrecht en informatieplichten voor bedrijven en winkels op internet. Duur: dag | Kosten: € 549,- excl. btw

De nieuwe Europese Privacyverordening bevat strenge regels over privacy en persoonsgegevens. Hoe verhoudt dit zich tot de huidige wetgeving en wat betekent dit voor de praktijk? Duur: dag | Kosten: € 549,- excl. btw

3 februari

ICT en de curator, 6 PO 12 maart

ICT is in bedrijven welhaast onmisbaar vandaag de dag. Maar bij faillissement en surseance ontstaan door ICT lastige vragen voor de praktijk. Kan een curator voortzetting van een online dienst eisen, of kopieën van mailbox of digitale administratie opvragen? Wie is eigenaar van data, software en auteursrechten? En hoe realiseren dienstverleners de continuïteit van hun diensten? Duur: dag | Kosten: € 549,- excl. btw

Actualiteiten ICT & Recht, 3 PO

7 april, 2 juli, 24 september 10 december Relevante rechtspraak, wetgeving en andere juridische ontwikkelingen van het afgelopen jaar, in duidelijke taal becommentarieerd door de ex­ perts van ICTRecht. In één middag leert u waar het internetrecht staat. Duur: middag | Kosten: € 249,- excl. btw

14 mei

ICT-contracten: de basis, 6 PO 3 september

Welke uitdagingen bieden ICT contracten? Leer in deze basiscursus hoe elektronisch te contracteren, welke aandachtspunten vereist zijn bij softwarelicenties, apps, hostingcontracten en privacyaspecten van overeenkomsten. Aan de hand van vele voorbeelden leert u de kennis in de praktijk te brengen. Duur: dag | Kosten: € 549,- excl. btw

ICT-contracten: verdieping, 6 PO 17 september

Alleen voor ervaren contractjuristen met ICT ervaring. Aan de hand van diverse ICT-contracten uit de praktijk leert u de lastigste valkuilen en aandachtspunten voor uw contracts­ praktijk te herkennen. Wat werkt, en wat kunt u eisen voor inkoper of leverancier? Duur: dag | Kosten: € 549,- excl. btw

Masterclass ICTcontracten, 6 PO 8 oktober

In uw praktijk komt u regelmatig

ictrecht.nl/trainingen

ICT-contracten tegen. Van softwareontwikkeling tot hosting voorwaarden of app-licentie. Welke valkuilen en aandachtspunten gelden hierbij? Leer hoe een ICT-contract in de praktijk uitpakt. Wat werkt, en wat kunt u eisen als inkoper of leverancier. Ter voorbereiding ontvangt u een typisch ICT-contract als rodedraadcasus ter review dat als rode draad voor de dag. Ruime ervaring met ICT is vereist. Duur: dag | Kosten: € 549,- excl. btw

Verdieping Cloud & Recht, 6 PO 5 november

De cloud is niet meer weg te denken uit de praktijk. Maar welke rechtsvragen roept deze nieuwe technische ontwikkeling op? In deze verdiepings­dag leert u als ervaren jurist de specifieke uitdagingen die de cloud biedt voor het recht. Aan bod komen onder meer: persoonsgegevens, continuïteit, security en eigendom van data. Duur: dag | Kosten: € 549,- excl. btw

Masterclass Cloud & Recht, 6 PO 19 november

Leer de valkuilen van cloudlicenties, regel continuïteit, bescherm persoonsgegevens en waarborg de security van uw cliënten en hun data of diensten. Aan de hand van een uitgebreide casus komt de praktijk van ICT en cloudrecht aan de orde. Ruime ervaring met ICT en contracten is vereist. Duur: dag | Kosten: € 549,- excl. btw

ICTRecht is door de Nederlandse Orde van Advocaten erkend als opleidingsinstelling. Dat geeft ons de bevoegd­ heid om opleidingspunten (PO) toe te kennen, die advocaten in het belang van het onderhoud van hun vakbe­ kwaamheid dienen te behalen.

Webinars De aankomende privacy­ verordening, 1 PO 8 januari

De huidige wetgeving met betrekking tot persoonsgegevens gaat op de schop. Met een nieuwe Europese privacywet wil men de teugels stevig aanhalen bij gebruik van persoonsgegevens. Mensen krijgen het recht te worden vergeten, toestemming vragen voor direct marketing wordt moeilijker en het opbouwen van profielen mag niet meer zomaar. In dit webinar zetten we de belangrijkste wijzigingen uiteen voor de juridische praktijk.

Softwarebescherming, 1 PO 15 januari

Software is ongrijpbaar, maar ook juridisch is software lastig te duiden. Tot hoe ver strekt het auteursrecht op software, en is octrooi mogelijk? Wat mag er wel en niet in een softwarelicentie? In dit webinar bespreken we in duidelijke taal de eisen die de Auteurswet stelt en hoe om te gaan met softwarelicenties (EULAs). Ook open source software en softwarepatenten komen kort aan bod.

Het nieuwe consumentenrecht, 1 PO 21 januari

De Richtlijn Consumentenrechten verandert de Nederlandse consumentenwet­ geving ingrijpend. Voor webwinkels maar ook voor andere ondernemers die met consumenten zaken doen. Informatieplichten worden uitgebreid, het herroepingsrecht wordt verlengd naar 14 dagen en optionele zaken moeten ook écht optioneel worden. In dit webinar zetten wij de belangrijkste wetswijzigingen uiteen aan de hand van praktische voorbeelden.

In één uur wordt u bijgepraat over een onderwerp naar keuze. U hebt enkel een computer met internetverbinding en de mogelijkheid Flash-video’s te bekijken nodig.

ICT-contracten, 1 PO 29 januari

Welke uitdagingen bieden ICT contracten? Leer in een uur de principes van elektronisch contracteren. Aan de hand van vele voorbeelden bespreken we aandachtspunten bij softwarelicenties, apps, hostingcontracten en privacyaspecten van overeenkomsten.

Uitingsvrijheid op internet, 1 PO 3 februari

Internet is de plek voor mensen om hun vrijheid van meningsuiting uit te oefenen. Maar internet is geen vrijplaats om maar alles te zeggen: regels rond smaad, laster en privacy gelden ook online. Aanpakken van onrechtmatige uitingen is op internet echter extra lastig: de mores op internet zijn anders, anonimiteit is lastig te doorbreken en de technologie maakt het werkelijk weghalen moeilijk. In dit webinar leert u welke juridische grenzen de uitingsvrijheid online kent, en welke eisen en verweren in de praktijk succes hebben.

De Wet bescherming persoons­gegevens, 1 PO 11 februari

Steeds meer mensen beseffen hoe kwetsbaar hun privacy op internet is. De privacywetgeving wordt daarmee steeds relevanter. De Wet bescherming persoonsgegevens, de belangrijkste privacywet, stelt strenge regels aan ieder verzamelen, opslaan of doorgeven van persoonlijke gegevens. Hoe vertaalt zich dit nu naar de praktijk? Laat u in een uur bijpraten over toestemming, inzage en privacybeleid. Inclusief een korte blik op de te verwachten nieuwe Europese privacyverordening.

Sociale media juridisch bekeken, 1 PO 19 februari

Social media zijn niet meer weg te denken uit de maatschappij van vandaag. Zo’n 60% van alle Nederlanders heeft een Facebook­ account en dik 3 miljoen Nederlanders meldt wat ze aan het doen zijn op Twitter. LinkedIn, zeg maar Facebook met stropdas, telt 3,9 miljoen gebruikers. Een perfecte basis voor juridische conflicten en nieuwe rechtsvragen. In dit webinar doorlopen we de juridische achtergrond en relevante wetgeving aan de hand van vele praktijkvoorbeelden en jurisprudentie.

Exploiteren van software, 1 PO 26 februari

Juridische bescherming voor een softwareinnovatie is mooi, maar wat heeft uw cliënt er in de praktijk aan? Software kan op vele manieren worden ingezet om inkomsten of ander voordeel mee te genereren. Wordt het een app, een webdienst of open source? Welke licentiemogelijkheden zijn er en welke kansen en risico’s bieden deze? Leer in dit webinar welke afwegingen u en uw cliënt kunnen maken om tot een succesvolle exploitatie van software-innovaties te komen.

ICT versus arbeidsrecht, 1 PO 5 maart ICT op de werkvloer is onmisbaar maar roept nieuwe juridische vragen op. Mag u werknemers monitoren? Welke privacyrechten gelden bij cameratoezicht? Wie mag in de mailbox van een zieke collega? En wat kunt u doen bij gescheld op collega’s op Facebook? Laat u in dit webinar informeren over de wettelijke grenzen en regels die ICT op het werk met zich meebrengen.

ICTRecht - 35

ICTRECHT

Sarphatistraat 610-612 | 1018 AV Amsterdam | +31 (0) 20 66 31 941 | ictrecht.nl

36 - ICTRecht