ICTRecht in de praktijk 04 - december 2015
De gevolgen van Alice voor het Amerikaanse softwareoctrooi Contracteren voor software Impact van de meldplicht datalekken Ja, gebruik een SLA! Internet of Things
Wet- en regelgeving Internetrechtspraak Van onze blog Trainingsprogramma ICTRecht - 1
Heeft u uw juridische zaken goed geregeld?
Zeker op het gebied van ICT is dit geen eenvoudige zaak. Voorkom juridische ICT-problemen en laat ICTRecht u deskundig en praktisch adviseren. Dat hoeft helemaal niet duur te zijn: naast maatwerk leveren wij standaardproducten en juridische generatoren. ICTRecht is een flexibel en creatief juridisch adviesbureau. Wij bedienen zowel de grote als de kleine klant. Onze adviezen zijn begrijpelijk, concreet en geven blijk van technische kennis.Onze mensen zijn dan ook juridisch en technisch thuis in onze niche.
Wij kunnen u van dienst zijn met: Juridische documenten - Juridisch advies Trainingen - Generatoren - Boeken
Meer informatie over hoe werken?Bezoek Bezoek ictrecht.nl. Meerwij informatie? ictrecht.nl
Index
Directie Arnoud Engelfriet en Steven Ras Het eind van het jaar komt in zicht, en daar mee ook de traditionele eindejaarsdrukte. Deadlines die nog moeten worden gehaald en contracten die nog moeten worden gesloten. Daarbij zullen in ieder geval nieuwe afspraken over persoonsgegevens zijn, want het Hof van Justitie maakte een einde aan de Safe Harbor-regeling.
De gevolgen van Alice voor het Amerikaanse softwareoctrooi 4 Wet- en regelgeving 8 Volkswagen bewijst: de Accountant wordt software-auditor 10 Contracteren voor software 13 Impact van de meldplicht datalekken 16 Ja, gebruik een SLA! 20 Internet of Things 23 Internetrechtspraak 24 Noot bij Hof van Justitie EU 6 oktober 2015 (Safe Harbor ongeldig) 30 Van onze blog 32 Trainingsprogramma 2015 38
Colofon Dit is een uitgave van ICTRecht B.V., Sarphatistraat 610-612, 1018 AV,
Ook een einde lijkt te zijn gekomen aan het Amerikaanse softwareoctrooi. Waar men jaren dacht dat alles in ict-land octrooieer baar was, trekt het Supreme Court nu een harde grens. De huidige stand van zaken leest u in ons hoofdartikel. Het nieuwe jaar brengt ook nieuwe wetten met zich mee. De belangrijkste: de meld plicht datalekken. Beveiliging niet op orde, of een lek van persoonsgegevens niet gemeld? U riskeert acht ton boete. Misschien is het opstellen van antilekbeleid alvast een goed voornemen voor 2016?
Amsterdam, 020-6631941,
[email protected]. Dit tijdschrift verschijnt vier keer per jaar. Proeftijdschrift is op aanvraag beschikbaar. Abonnementsprijs is € 135,- per jaar, inclusief verzendkosten in Nederland. Aan deze uitgave werkten mee: Arnoud Engelfriet - partner -
[email protected] Steven Ras - partner -
[email protected] Niels Winters - juridisch adviseur -
[email protected] Lisette Meij - juridisch adviseur en opleidingscoördinator -
[email protected] Kirsten Eefsting -
[email protected] Sten Demon -
[email protected] Korst Monster -
[email protected] Dominique Zondervan -
[email protected] Charlotte Amson - (eind)redactie -
[email protected]
Verder in de toekomst? Uw slimme meter is pas het begin. Alle apparaten gaan aan internet, het Internet of things. Niels neemt u mee naar de mogelijkheden en implicaties voor uw privacy en andere rechten.
Eline Pellis - vormgeving -
[email protected] Brenno de Winter - columnist Peter Streefkerk - recensie Foto’s partners en juridisch adviseurs: Geert de Jong - CheeseWorks.nl
ICTRecht - 3
Auteur: Arnoud Engelfriet Partner
De gevolgen van Alice voor het Amerikaanse softwareoctrooi In de VS is alles octrooieerbaar, zo luidt een veelgehoorde opvatting. Waar onder het Europese octrooirecht strenge eisen gelden ten aanzien van het technisch karakter en de inventiviteit van een uitvinding, is in de VS overdwars schommelen al patenteerbaar. Deze opvatting is echter achterhaald sinds de Alice-uitspraak van het Supreme Court van vorig jaar. Alleen uitvindingen die “significant” verder gaan dan enkel abstracte ideeën of algoritmes, kunnen nog voor octrooi in aanmerking komen. Deze uitspraak heeft geleid tot een forse kaalslag bij verlening en handhaving van Amerikaanse softwareoctrooien: meer dan 70% van deze octrooien is ondertussen van tafel. Gezien het wereldwijde belang van de Amerikaanse ICT-industrie is dit ook voor Nederlandse en Europese bedrijven een belangwekkende uitspraak. Vrijwel ieder bedrijf dat octrooi op een software-gerelateerde uitvinding aanvraagt, doet dat immers (ook) in de Verenigde Staten. Octrooi op software Wat precies een softwareoctrooi is, blijft een lastige vraag. Pragmatisch gezien kan men spreken van een softwareoctrooi wanneer de uitvinding voor een belangrijk deel leunt op software of de facto met standaardhardware wordt gerealiseerd. Een aanverwant begrip is het business method patent oftewel octrooi op werkwijzen voor het zakendoen. Dit betreft een subcategorie van het software octrooi waarbij de software wordt ingezet voor een zakelijk – oftewel niet-technisch – doel, zoals het waarde-
4 - ICTRecht
ren van een aandelenportfolio of het automatiseren van een veiling. Deze categorie softwareoctrooien is nog controversiëler dan softwareoctrooien in het algemeen: waar velen octrooi nog kunnen billijken op een ABS-remsysteem dat met innovatieve software effectiever remt, is het draagvlak voor octrooien op one-click shopping of het waarderen van een pensioenfonds vrijwel nihil.
Het Amerikaanse softwareoctrooi Softwareoctrooien zijn controversieel, met name in Europa waar een expliciete
uitzondering op “computerprogramma’s als zodanig” in octrooiwetgeving is opgenomen. De kritiek op het softwarepatent kende in Europa een voorlopig hoogtepunt toen de Europese Commissie in 2002 voorstelde een Richtlijn in te voeren die octrooi op computer-geïmplementeerde uitvindingen zou bevestigen. Hoewel de Richtlijn in beginsel slechts een codificatie was van de jurisprudentie van het Europees Octrooibureau, voorzagen velen ‘Amerikaanse toestanden’, zodat dit voorstel de heftigste tegenlobby opriep die het octrooirecht ooit heeft
gekend. Die kwalificatie ‘Amerikaanse toestanden’ geeft aan waar de pijn zit: Amerikaanse softwareoctrooien worden algemeen gezien als kwalitatief slecht en onwenselijk. Waar komt deze houding nu vandaan? De Amerikaanse octrooiwetgeving uit 1952 definieert (35 USC 101) vier categorieën zaken die voor octrooi in aanmerking komen: een proces, een machine, een product of een voortbrengsel. Alleen als een octrooiclaim onder een van deze vier categorieën kan worden gebracht, is sprake van statutory subject matter die – indien nieuw en niet voor de hand liggend – als octrooi kan worden beschermd. Men kent daarbij geen expliciet techniekcriterium; “anything under the sun that is made by man” is in beginsel vatbaar voor octrooi. Tot begin jaren tachtig was de eis in de praktijk dat de uitvinding een nieuw apparaat opleverde of zorgde voor een transformatie van een product of voortbrengsel in iets anders. In de jaren tachtig werd deze eis licht verruimd: een uitvinding kon octrooieerbaar zijn, ook wanneer deze enkel in software uitgevoerd was. In de praktijk kwam dit erop neer dat men het algoritme of andere softwareaspecten van de uitvinding moest ‘aankleden’ met hardware ingezet voor een specifieke toepassing. Er was dus ruimte, maar de hardware moest wel specifiek toegesneden zijn op het algo ritme (oftewel een technische verbetering opleveren) en de uitvinding moest bij voorkeur een concreet fysiek resultaat opleveren. In de jaren negentig veranderde er veel. Het Federale Beroepshof versoepelde de grenzen voor software fors door te bepalen dat software op een standaardcomputer of andere bekende hardware in beginsel octrooieerbaar was. Een jaar later werd bepaald dat een drager zoals een floppy disk voldoende specifiek was, zodat software op drager geoctrooieerd kon worden en dus niet enkel geïnstalleerd op een computer, telefoon of ander apparaat. Daarmee was het octrooieren
van softwarezaken in feite onbeperkt mogelijk geworden. Een bekende kritiek uit die tijd luidt dan ook dat de octrooieerbaarheid van een software-uitvinding meer afhing van de kwaliteit van de octrooigemachtigde dan van een echt juridisch criterium. Tevens werden in die tijd de grenzen van het software-auteursrecht getrokken. In Apple v. Microsoft (1994) kreeg Apple te horen dat zij geen auteursrecht kon claimen op concepten als titelbalken op vensters, iconen voor bestanden en mappen of een prullenbak voor zaken die verwijderd moesten worden. Kort daarna werd in Lotus v. Borland (1996) bepaald dat de look-en-feel van een spreadsheetprogramma eveneens niet auteursrechtelijk beschermd kon worden. Hiermee waren de mogelijkheden flink beperkt voor bedrijven om middels auteursrecht imitatie van hun software tegen te gaan. Het lijkt erop dat deze bedrijven vervolgens op zoek gingen naar alternatieven en uitkwamen bij het octrooirecht, hetgeen mede zou verklaren waarom het octrooieren van software sterk toenam in die tijd.
Tijd voor e-commerce octrooien De State Street Bank-uitspraak gooide in 1998 alle remmen los. Niet langer was het nodig een “machine or transformation” te laten zien; voldoen aan het criterium van “useful, concrete and tangible” was voldoende. En zodra een algoritme een uitkomst opleverde die betekenis had in de ‘echte wereld’ – zoals een totaalprijs of de waarde van een aandelenportfolio – kon al gesproken worden van een dergelijk “useful, concrete and tangible” resultaat. En passant merkte het Hof tevens op dat men de “ill-conceived” gedachte dat business methods niet octrooieerbaar zijn bij dezen ten grave droeg. En dat had men misschien niet moeten zeggen. De uitspraak kwam precies op het goede moment voor de internet-boom, een explosie van nieuwe en innoverende internetdiensten op zoek naar marktaandeel en investeerders. Al deze innovaties waren nieuw en gebruikten software om tot iets concreets te komen, zodat zij onder State Street Bank in beginsel stuk voor stuk voor octrooi in aanmerking kwamen.
ICTRecht - 5
Daarbij wreekte zich tevens de afwezigheid van de benodigde databases met stand der techniek om hun nieuwheid te toetsen. Al binnen een paar jaar was het aantal Amerikaanse octrooien op software en business methods explosief gegroeid, doch met een navenante dip in kwaliteit.
Kritiek op het softwarepatent In de vijftien jaar na State Street Bank nam de kritiek op de octrooiverleningspraktijk van de Amerikaanse Octrooiraad steeds meer toe. Softwareoctrooien zouden veel te makkelijk worden toegekend, een te brede scope kennen en de industrie alleen maar hinderen. Zo worden verleningspercentages van meer dan 80 procent genoemd in deze sector, tegen zo’n 54 procent in het algemeen. Het aantal verleningen ligt daarbij drie maal zo hoog als in Europa. Het ligt voor de hand dat zulke aantallen wel tot slechte kwaliteit octrooien moet leiden. Empirisch onderzoek hiernaar is echter beperkt, nu dit naar de aard der zaak erg ingewikkeld is. Onderzoek van Allison en Mann laat bijvoorbeeld zien dat er gemiddeld even veel prior art wordt geciteerd in softwarezaken als bij andere octrooien, maar betekent dit nu dat de kwaliteit net zo hoog is? Hoe dan ook, feit is dat er een breed gedragen maatschappelijk gevoel ontstond dat de VS te makkelijk octrooien op software en business methods toekende. In de VS is de kritiek met name significant toegenomen door het wijdverbreide fenomeen van de octrooitrol. Een octrooitrol is een bedrijf dat niet zelf een uitvinding op de markt brengt en zichzelf beschermt met een octrooi, maar als enige bedrijfsactiviteit heeft het uitoefenen van haar octrooien tegen derden. Vaak zijn deze octrooien, of de claims jegens derden die men daarmee
6 - ICTRecht
legt, van dubieuze waarde. De meeste bedrijven schikken echter toch, omdat octrooiprocedures in de VS tot de duurste ter wereld behoren en vele jaren kunnen duren. Bovendien kennen zij in beginsel geen proceskostenveroordeling voor de verliezende partij, zodat een bedrijf zelfs bij een overwinning duurder uit kan zijn dan het door de trol geëiste schikkingsbedrag.
5. Het tij gekeerd De druk om iets te doen aan software patenten, leidde zo’n 5 jaar geleden tot een aantal rechtszaken die tot aan de Supreme Court werden uitgevochten. Na twee uitspraken die geen duidelijke lijn formuleerden, kwam het hoogste Amerikaanse gerechtshof dan in 2014 eindelijk met de gewenste harde streep. De uitvinding in deze zaak betrof een procedure om betalingen in het handelsverkeer efficiënter en betrouwbaarder te maken door inzet van een escrowagent. Inzet van een dergelijke agent (zoals een notaris) is natuurlijk al lang bekend, maar volgens eiser Alice Corporation was de door haar geclaimde computer implementatie statutory, nieuw en niet voor de hand liggend. De interesse voor de zaak was groot: nadat de zaak door de Supreme Court was aangenomen, volgden tientallen amicus curiae-petities met diverse betogen waarom dit octrooi ongeldig zou moeten worden verklaard. De Supreme Court formuleerde het zogeheten Mayo framework, gebaseerd op een uitspraak uit de life sciences van twee jaar eerder. Dit framework voor octrooieerbaarheid telt twee stappen: 1. bevat de claim een abstract idee, algoritme of ander generiek principe; 2. zo ja, voegt de claim “something extra” toe dat als “inventive concept” kan
worden gekwalificeerd? Hierbij geldt expliciet dat enkel de toevoeging van een generieke computerimplementatie niet genoeg is, net zo min als een beperking tot een specifiek toepassingsgebied. Een klein jaar na Alice publiceerde de Amerikaanse Octrooiraad (USPTO) een guidance met een achttal voorbeelden van software-gerelateerde uitvindingen met uitleg waarom zij deze wel of niet octrooieerbaar achtte. De octrooieerbaar geachte voorbeelden hebben als onderscheidend kenmerk dat de uitvinding bestaat uit een combinatie van hardware en software, waarbij de hardware voor een specifiek benoemd doel wordt ingezet en de uitvinding een voordeel oplevert aan de hardware zelf (zoals een betere beeldbewerking) of in het vakgebied waarin de hardware opereert (zoals een nauwkeuriger GPS-locatiebepaling). De niet-octrooieerbare voorbeelden gaan niet verder dan benoemen dát een computer wordt gebruikt. Dit sluit nauw aan bij de criteria uit Alice en laat zien dat er inderdaad weinig ruimte meer is voor het argument “maar dan per computer”.
De impact van Alice in de praktijk Een recent onderzoek van Robert Sachs laat zien dat Alice een fundamentele breuk vormt met de praktijk van de afgelopen vijftien jaar. Sachs onderzocht bijna 300.000 aanvraagdossiers tussen 2012 en 2015 en analyseerde verschillen in bezwaren voor en na Alice. Men kan welhaast van een kaalslag spreken: het aantal dossiers met afwijzingen (office actions) op grond van statutory subject matter is van gemiddeld zo’n 30 procent naar meer dan 85 procent gestegen. Het aantal verleende octrooien (notices of allowance) in deze vakgebieden is
overeenkomstig gekelderd, naar minder dan tien procent sinds Alice tegen 20 tot 30 procent in de drie jaren daarvoor. In sommige deelgebieden worden zelfs vrijwel geen octrooien (<2%) meer verleend. Specifiek waar het gaat om business methods is de situatie nog dramatischer. In dit vakgebied komen 58% van de octrooi-onderzoekers tot een afwijzing van alle octrooiaanvragen die op hun bureau belanden. Nog eens 20% wijst in meer dan 90% van de zaken de aanvraag af. Oftewel: meer dan 70% van alle business method-octrooiaanvragen wordt op grond van de Alice-uitspraak afgewezen in de verleningsprocedure. En wie meent in de interne bezwaarprocedure een kans te maken, komt helemaal bedrogen uit: de volle honderd procent van alle (27) bezwaarprocedures waarin statutory subject matter aan de orde was, wijst de aanvraag op die grond af. Sachs onderzocht eveneens 106 gerechtelijke uitspraken (eerste instantie en hoger beroep). Uit deze analyse blijkt een zeer sterke tendens om octrooien ongeldig te verklaren omdat zij niet statutory zijn. In meer dan 70% van alle octrooirechtszaken waarin op deze grond een octrooi werd aangevochten, werd het octrooi ook daadwerkelijk als non-statutory ongeldig verklaard. In hoger beroep gaat het zelfs om 92%. De bevindingen van Sachs zijn in lijn met diverse eerdere onderzoeken, zoals Callahan die een vernietiging van 78% van de bij de recht bank aangevochten octrooien aantrof. In veel gevallen gebeurt dat afwijzen zonder al te veel woorden vuil te maken aan een gedetailleerde analyse van de specifieke geclaimde uitvinding. Men wijst de computerstappen aan en noemt
deze “straightforward” of merkt op dat deze ook door een mens met pen en papier uit te voeren zijn. Slechts in enkele gevallen blijft de geclaimde oplossing overeind na een Alice-bezwaar. Deze focussen eigenlijk allemaal op het functioneren van een machine of apparaat, of een technische verbetering zoals efficiëntere datatransmissie. De aanpak doet denken aan de praktijk ontwikkeld bij het Europees Octrooi bureau, hoewel daar de procedure niet over de band van statutory subject matter maar die van inventiviteit wordt gespeeld. In de huidige Europese praktijk worden niet-technische maatregelen aangemerkt als een gegeven (“non-technical framework”) voor de vakman, ongeacht of de maatregelen bekend zijn of niet. Slechts wanneer met dit gegeven de implementatie technisch inventief genoemd kan worden, kan sprake zijn van een octrooieerbare uitvinding. Ook meer algemeen vertoont de Amerikaanse praktijk na Alice veel overeenkomsten met de Europese praktijk. De eisen van “improving the computer itself ” en “an improvement in any other technology or technical field” uit de Alice-uitspraak zijn zonder al te veel fantasie op één lijn te stellen met de Europese eis van een technische verbetering, waarbij “mere automation” als onvoldoende wordt aangemerkt.
Conclusie
het nieuwe criterium enthousiast aan om op grote schaal octrooien en aanvragen af te wijzen. Alice lijkt dan ook een zeer welkome correctie op een als al te gemakkelijk gezien Amerikaans octrooi systeem. Onder Alice moet een uitvinding worden onderzocht op de aanwezigheid van een abstract idee in de claims. Bij software zal hier al heel snel sprake van zijn. De vraag wordt dan of men méér dan dit idee claimt, hetgeen in de praktijk vereist dat het functioneren van de onderliggende hardware wordt verbeterd of het idee wordt toegepast op een manier die een technische vooruitgang oplevert. Enkel opmerken dát een en ander per computer wordt uitgevoerd, is niet meer genoeg. Het nieuwe Amerikaanse criterium van “significant meer dan het abstracte idee” komt in de praktijk neer op dezelfde afweging als de Europese probleem/ oplossing-analyse. In beide gevallen wordt het abstracte idee als een gegeven genomen vanaf waar de vakman tot zijn inventieve activiteit moet komen. De Europese praktijk vereist dan een technische oplossing, waar de Amerikaanse praktijk een significante vooruitgang wil zien. Een dergelijke vooruitgang is in de praktijk te vinden door een technische oplossing aan te wijzen. Daarmee lijkt de Amerikaanse praktijk nu op gelijke voet met de Europese te komen te staan. Aldus maakt Alice een einde aan de ‘Amerikaanse toestanden’ op octrooigebied.
Kan men in de VS nog steeds alles octrooieren? De Alice-uitspraak geeft hier een duidelijk antwoord op: nee, zeer zeker niet meer. Men moet significant meer bijdragen dan een abstract idee of algoritme, en het blijkt in de praktijk erg moeilijk om zo’n bijdrage aan te tonen. Rechters en octrooi-onderzoekers grijpen
ICTRecht - 7
Auteur: Kirsten Eefsting Juridisch adviseur
Wet- en regelgeving Voorstel wijziging van de Telecommunicatiewet Op 1 september 2015 is een voorstel tot wijziging van de Telecommunicatiewet ingediend ter versterking van het telecommunicatiebeleid. In het voorstel wordt onder andere gesproken van een compensatieregeling voor abonnees bij onderbrekingen in diensten van aanbieders van openbare elektronische communicatie. Daarnaast spreekt het voorstel van de uitbreiding van de kring van instanties die eigenaren van telecomkabels kan verplichten op eigen kosten kabels te verplaatsen. Daarnaast beoogt het voorstel de overstapdrempels voor kleinzakelijke abonnees weg te nemen. Andere doelen zijn de verbetering van de continuïteit van uitzendingen vanaf antenne-opstelpunten voor omroep, en versterking van de samenhang en het beleid op het terrein van elektronische communicatie. Het voorstel is in behandeling bij de Tweede Kamer.
Bron: http://bit.ly/1NunuTA
Voorstel elektronisch deponeren van bescheiden in het handelsregister In augustus 2015 is een voorstel ingediend ter wijziging van de Handelsregisterwet 2007, het Burgerlijk Wetboek en de Wet op de formeel buitenlandse vennootschappen in verband met deponering van bescheiden in het handelsregister langs elektronische weg. Ondernemingen die hun jaarrekening moeten deponeren in het handelsregister, hebben nu nog de keuze om dit via de papieren of via de elektronische weg te doen. Het doel van dit voorstel is dat de jaarrekening, en in de toekomst ook andere soortgelijke stukken, uitsluitend via elektronische weg kan worden gedeponeerd. Het voorstel is in behandeling bij de Tweede Kamer.
Europees Parlement stemt in met Europese netneutraliteit en afschaffing roamingkosten Eind oktober 2015 stemde het Europees Parlement definitief in met de Europese variant van netneutraliteit en met de afschaffing van roamingkosten. Vanaf 15 juni 2017 mogen geen bijkomende kosten meer worden gerekend voor telefoneren, sms’en en internetten in het buitenland (in de Europese Unie). Verder zal de strikte Nederlandse netneutraliteit moeten wijken voor de zwakkere Europese netneutraliteit. In de Europese variant zijn meer uitzonderingen te vinden. Zo kunnen ‘gespecialiseerde diensten’ alsnog voorrang krijgen omdat deze meer prioriteit verdienen. Welke diensten hier precies onder zullen vallen is (nog) onduidelijk.
Bron: http://bit.ly/1WfObzW
Herziening Wet bewaarplicht tele communicatiegegevens (dataretentie) Naar aanleiding van de uitspraak van het Europese Hof van Justitie waarin het Hof de Europese Data retentierichtlijn (richtlijn 2006/24/EG) ongeldig heeft verklaard en naar aanleiding van een uitspraak van de voorzieningenrechter uit Den Haag in maart 2015 waarin de Wet bewaarplicht telecommunicatiegegevens buiten werking werd gesteld, wordt het Wetboek van Strafvordering en de Telecommunicatiewet aangepast. Het doel is de herinvoering van de bewaarplicht. Het gaat om een bewaarplicht voor bepaald aangewezen telecommunicatiegegevens in verband met de opsporing van ernstige misdrijven. De herziening bevindt zich nog in de beginfase. In november 2015 is een adviesaanvraag gedaan bij de Raad van State. Overigens zijn ook andere Europese landen (zoals Duitsland en het Verenigd Koninkrijk) bezig met nieuwe initiatieven met betrekking tot hun dataretentiewetgeving.
Bron: http://bit.ly/1lmSwpL Bron: http://bit.ly/20UQ5LC
8 - ICTRecht
Verklaring Europese Commissie betreffende nationale dataretentie-wetgeving De Europese Commissie heeft in september 2015 officieel aangegeven niet te komen met nieuwe dataretentie-regels. Lidstaten zijn volgens de Commissie vrij hun huidige regels in werking te houden of deze te wijzigen, zolang zij de beginselen van het EU-recht in acht nemen (zoals die onder andere blijken uit de e-Privacy-richtlijn).
Bron: http://bit.ly/1QFDwNI
‘Regeling beheer verpakkingen’ in verband met de vermindering van het verbruik van plastic draagtassen ook van toepassing op webwinkels In april 2015 is een Europese richtlijn (2015/720) aangenomen die lidstaten verplicht maatregelen te treffen om het gebruik van plastic draagtassen tegen te gaan. In Nederland wordt de richtlijn geïmplementeerd in de ‘Regeling beheer verpakkingen’. De kern van de regeling is een verbod op het gratis verstrekken van plastic draagtassen. Het verbod treft de hele detailhandel, dus ook webwinkels. Het gaat om plastic draagtassen waarin producten vervoerd worden. Een handvat is hierbij niet relevant. De regeling zal ook voor webwinkels grote gevolgen krijgen, omdat webwinkels vaak gratis tassen verstrekken en hierin producten verzenden. Dit kan uitwerking hebben op verzendkosten, of zelfs op het herroepingsrecht. Dit kan tot rare constructies leiden. De regeling zou per 1 januari 2016 in werking treden. Eind oktober 2015 werd bekendgemaakt dat dit wordt uitgesteld, zodat de detailhandel zich beter kan voorbereiden op de te treffen maatregelen.
Bron: http://bit.ly/1NunHGo
Europees Parlement stemt in met voorstel tot veilig gebruik van drones Eind oktober 2015 stemde het Europees Parlement in met het voorstel tot veilig gebruik van drones. Een belangrijk onderdeel van dit voorstel is de verplichte registratie van drones. Drones zouden voorzien moeten worden van een identificatiechip. Aangerichte schade moet op deze manier eenvoudiger te zijn verhalen. Het is nog de vraag of dit voor zowel commercieel gebruik als particulier gebruik gaat gelden. Ook Nederland houdt zich bezig met drone-wetgeving. De Tweede Kamer buigt zich ondertussen over drone-wetgeving met betrekking tot het commerciële gebruik van mini-drones.
Bron: http://bit.ly/1N1g9Ar
Consultaties betreffende geo-blocking en de rol van platforms en tussenpersonen in de online economie Eind september 2015 is de Europese Commissie twee openbare consultaties gestart. De onderwerpen zijn onderdelen van de Digital Single Market Strategy. De eerste consultatie betreft geo-blocking en andere geografisch bepaalde restricties, bijvoorbeeld een webwinkel die producten tegen verschillende prijzen aanbiedt, op basis van de locatie van klanten. De tweede consultatie betreft de economische rol van online platforms, zoals zoekmachines, appstores en social media. Wat is bijvoorbeeld hun rol bij het verspreiden van content, maar ook bij het aanpakken van illegale content en wat zijn hun zorgplichten? De consultaties sluiten op 28 december (geo-blocking) en 30 december 2015 (online platforms). Tot die tijd kunnen belanghebbenden hun input geven.
Bron: http://bit.ly/1L7STjj
ICTRecht - 9
COLUMN Brenno de Winter
onderzoeksjournalist
Volkswagen bewijst: de Accountant wordt software-auditor Voor accountants is het al langer duidelijk dat hun bestaan als ‘boekhouder’ eindig is geworden. Boekhouden is een geautomatiseerde taak. Het is slechts een kwestie van tijd voor nagenoeg alle transacties geautomatiseerd ontstaan. Het sjoemelen met de cijfers zal ingewikkelder worden. Voor de accountant is er weinig tot geen ruimte om zijn traditionele rol te vervullen. Het werkgebied zal zich dan ook gaan verleggen naar het testen van de verbindingen, programma tuur, conformiteit met beleid en vooral de integriteit van het hele systeem.
door Mercedes en dat valt bij de concurrent niet goed. Gekozen wordt voor een eigen systematiek met onder andere technologie van Bosch. Er wordt een systeemswitch gemaakt van Turbocharged Direct Injection (TDI) naar common rail fuel injection systeem. Volgens Volkswagen wordt tenminste voldaan aan de eisen die in zowel de staat Californië als de Verenigde Staten worden gesteld. Metingen die worden gedaan bevestigen die claim van Volkswagen en de kopers van de auto kunnen dus van vrijstellingen van heffingen gebruik maken.
Fiscaal voordeel
Afwijkingen
Om de technologie goed onder de knie te krijgen wordt gekeken naar het BlueTec-systeem dat goed lijkt te werken. Maar dit systeem is gemaakt
Latere tests van de International Council on Clean Transportation (ICCT) maakten duidelijk dat de Volkswagen Jetta en Passat op de weg anders reageerden dan in bij de reguliere emissie-
Dat zo’n taak te vervullen is, blijkt wel uit de affaire rond Volkswagen. Aanleiding is het beleid van diverse overheden om fiscale voordelen te gunnen aan automobilisten die een zuinigere auto kopen. Vooral in de Verenigde Staten wordt daarop in gezet en de staat Californië stelt eigen strenge eisen op. Er is een auto fabrikant dan ook veel aan gelegen om in de categorie te vallen van milieuvriendelijke auto’s. Voor Volkswagen is dat niet anders.
10 - ICTRecht
In 2013 ontstaat er voor het eerst twijfel aan deze claim als een onderzoeksinstituut van de Europese Commissie vaststelt dat de software in de auto kan vaststellen dat een uitstoottest wordt uitgevoerd. Dit is een aanwijzing dat testen gemanipuleerd zouden kunnen worden. De Europese overheden en de Europese Commissie konden het niet eens worden wie er nu verantwoordelijk is.
test, terwijl de BMW X5 geen afwijkingen gaf. Hierop kreeg de Universiteit van Virginia 50.000 dollar om nader onderzoek te doen. In 2014 werden duizenden kilometers gereden. De conclusie was dat afhankelijk van het type weg de Jetta 15 tot 25 maal meer uitstoot bleek te produceren dan toegestaan, terwijl de Passat de Amerikaanse norm met een factor 5 tot 20 bleek te overtreden.
Grote gevolgen
Geconfronteerd met het bewijs kon Volkswagen niet anders dan de malversaties erkennen. In totaal zou het gaan om 11 miljoen auto’s met sjoemelsoftware. Maar de gevolgen strekken veel verder. Er is voor miljarden aan onterecht fiscaal voordeel is verleend en door de extra uitstoot zouden er volgens experts alleen al in de VS 60 mensen vroegtijdig extra overlijden. Analisten becijferen de totale schade voor Volkswagen op maximaal 35 miljard euro, maar financieel experts van Credit Suisse houden een bovengrens van zelfs 78 miljard aan. Het bedrijf heeft ‘maar’ 6,7 miljard euro opzij gezet voor de afwikkeling van de zaak. De opgerakelde discussie heeft grote gevolgen voor het bedrijf, want er blijkt meer niet in orde te zijn. Begin november maakt Volkswagen zelf bekend dat er gesjoemeld is met de uitstoot van CO2. Dit zou in totaal om zo’n 800.000 auto’s gaan. Per auto schat Volkswagen dat de extra kosten van extra CO2-uitstoot zo’n 2500 euro zijn. Wat neerkomt op een aanvullende schadepost van zo’n 2 miljard euro los van eventuele aanvullende sancties. ‘Dieselgate’ is inmiddels een feest voor juristen. Het regent juridische procedures van gedupeerden, overheden en milieuorganisaties. In zeker twintig landen zijn overheden onderzoeken en procedures gestart, in de Verenigde Staten en Canada zijn meer dan 30 class action lawsuits gestart. In Nederland wil Stichting Volkswagen Audiclaim 800 miljoen euro schadevergoeding van importeur Pon ontvangen.
Software-verificatie
Wat de zaak bijzonder maakt, is dat niet de motor maar de software het probleem vormt. Al in 1973 werd gesjoemeld met uitstoot met behulp van temperatuurschakelaars door Volkswagen, Chrysler, Ford, General Motors en Toyota. De bedrijven ontkenden dit opzettelijk te doen. Maar in 1996 werd General Motors betrapt op het gebruik van software om emissieresultaten onder testomstandigheden te beïnvloeden, in 1997 bleek dat Ford emissie beperking bij het cruisen uitschakelde en in 1998 kwam het rommelen met uitstoot voor vrachtwagens van onder andere Caterpillar, Detroit Diesel Corporation en Volvo aan het licht. In alle gevallen werden er forse boetes uitgedeeld en moesten er aanpassingen worden door gevoerd. Het verschijnsel is dus niet nieuw, maar software maakt de zaak veel geavanceerder.
Dieper kijken
Het is dus redelijk om te stellen dat er dieper moet worden dan alleen naar het eindresultaat van het onderzoek. Want de gebruikte truc om te frauderen is natuurlijk breed toepasbaar: van financiële toepassingen tot stemmentellen, provisies toekennen of loterijen. Dat Volkswagen na jaren tegen de lamp is gelopen bij de emissie is uiteindelijk niet meer dan een toevalstreffer. De output is dan onvoldoende informatie om daadwerkelijk te controleren of verwerking wel goed gaat. Wie echt wil toetsen zal dus naar de software moeten kijken. Om dat te kunnen moet de broncode beschikbaar zijn en worden getoetst. Die rol is duidelijk voor de accountant weggelegd. Maar dan zal er wel veel meer softwarekennis moeten zijn en moet de toezichthouder over een andere kwaliteiten beschikken. Terwijl de boekhoudrol meer en meer naar de achtergrond zal gaan, is de auditor steeds belangrijker. De traditionele accountant is dood, leve de accountant!
ICTRecht - 11
Wegens succes herhaald! Training ICT-contracten: de basis
Training ICT-contracten: verdieping
Masterclass ICT-contracten
14 april 2016 Welke uitdagingen bieden ICT contracten? Leer in deze basiscursus hoe elektronisch te contracteren, welke aandachtspunten vereist zijn bij softwarelicenties, apps, hostingcontracten en privacyaspecten van overeenkomsten. Aan de hand van vele voorbeelden leert u de kennis in de praktijk te brengen.
28 april 2016 Alleen voor ervaren contractjuristen met ICT ervaring. Aan de hand van diverse ICT-contracten uit de praktijk leert u de lastigste valkuilen en aandachtspunten voor uw contractspraktijk te herkennen. Wat werkt, en wat kunt u eisen voor uw inkoper of leverancier?
19 mei 2016 Ruime ervaring met ICT is vereist. Leer hoe ICT-contracten in de praktijk écht uitpakken. Wat werkt, en wat kunt u eisen namens inkoper of leverancier. Ter voorbereiding op de masterclass ontvangt u een typisch ICT-contract ter review, dat als rode draad voor de dag zal dienen. Slechts beperkt plaats!
De training kost
De training kost
De training kost
excl. btw.
excl. btw.
excl. btw.
€ 549,-
€ 549,-
In combinatie met de verdiepingstraining voor slechts € 950,- excl btw (15% korting).
€ 549,-
In combinatie met de basistraining voor slechts € 950,- excl. btw (15% korting).
In combinatie met de verdiepingstraining voor slechts € 950,- excl. btw (15% korting).
In combinatie met de basistraining én de masterclass slechts € 1399,excl. btw (15% korting).
In combinatie met de basistraining én de masterclass slechts € 1399,excl. btw (15% korting).
Houd onze website in de gaten voor het overige cursusaanbod van 2016.
ICTRECHT
meer informatie? ictrecht.nl/trainingen
Auteur: Steven Ras Partner
Contracteren voor software Software wordt beschermd door het auteursrecht, en mag derhalve niet door derden worden gebruikt zonder toestemming van de auteursrechthebbende. De figuur om deze toestemming te verkrijgen heet een licentie. Er zijn vele vormen waarin zo’n licentie kan worden gegoten. De meest gebruikte vorm is de End-User License Agreement of EULA waarin weinig meer gebeurt dan het verlenen van toestemming, het eisen van een vergoeding en het beperken van aansprakelijkheid. Verspreiding van software gebeurt meestal in de vorm van reselling. Standaardmodel: EULA
Licenties bij Software as a Service
Het juridische document dat het gebruiks recht regelt, is de softwarelicentie, vaak uitgevoerd als de End User License Agreement of EULA. Een EULA is een softwarelicentie die gericht is op rechttoe-rechtaan gebruik. Wil men meer dan dat, dan wordt een algemene softwarelicentie opgesteld die maatwerktoevoegingen of uitgebreidere regelingen over bijvoorbeeld updates, trainingen of garanties bevat.
De laatste jaren is het model van software als dienst (Software as a Service, SaaS) sterk in opkomst. Dit model biedt voor de leverancier vele voordelen. Zo hoeft hij niet bij elke klant rekening te houden met diens ICT-omgeving, maar kan hij wijzigingen en updates doorvoeren naar eigen wens. De kans op illegaal kopiëren van de software is nihil, aangezien de software onder zijn beheer blijft. In een SaaS-licentieovereenkomst worden de voorwaarden vastgelegd.
Licenties bij apps Het model van apps heeft hier enige verandering in gebracht: apps zijn ontworpen voor een gecontroleerde en bekende omgeving en worden automatisch en (vrijwel) verplicht geüpdate wanneer de leverancier dat wil. Ook blijkt het in-app verkopen van zaken zeer lucratief. Door deze gecontroleerde omgeving zijn er weinig vrijheidsgraden. Een EULA voor een app is dus in beginsel een stuk eenvoudiger, hoewel de lappen tekst die men ter accordering krijgt bij installatie van veel apps anders zouden doen vermoeden.
Software als dienst aanbieden maakt vele nieuwe bedrijfsmodellen mogelijk. Wel ontstaat er nu een nieuwe afhankelijkheid: als de leverancier de dienst staakt, kan de gebruiker dan nog verder met zijn data? Is het eigenlijk wel zijn data? En welke schade kan worden geclaimd als de dienst een dag niet beschikbaar is? Een webdienst kan ook worden aangeboden met het oog op gebruik door andere diensten. Zo kan men diensten “aan elkaar knopen” en snel tot eigen nieuwe
diensten komen. Dit varieert van het integreren van bijvoorbeeld Google Maps op de contactpagina van de eigen website tot het op de achtergrond opslaan van gegevens bij een derde en het verrijken van deze gegevens uit weer een andere bron. De technische faciliteit die dit alles mogelijk maakt, heet de Application Programming Interface of API, en de bijbehorende licentie logischerwijs de API-licentie.
De licentie als koop Een licentie is een beperkt gebruiksrecht onder het auteursrecht. Daarnaast is software geen zaak. Het was lange tijd dan ook evident dat een softwarelicentie zuiver een contractuele figuur is, en bijgevolg niet overdraagbaar tenzij onder de wettelijke regels voor contractovername. Het Europese Usedsoft-arrest en het Nederlandse Beeldbrigade-arrest hebben deze visie echter ruw van tafel geveegd: softwarelicenties op standaardsoftware mogen worden doorverkocht, ongeacht wat de licentie daarover zegt. Zie ook het artikel hierover in het zomernummer van ons tijdschrift.
ICTRecht - 13
Het is nog niet geheel duidelijk wat dit betekent voor overige afspraken uit de licentieovereenkomst. Het lijkt erop dat de overdracht van een licentie gekwalificeerd wordt als een contractsoverdracht. Dit zou impliceren dat de verkrijger ook de andere rechten en plichten ontvangt, zoals toegang tot onderhoud of updates (uiteraard tegen betaling van de overeengekomen prijs). Het Usedsoft-arrest zwijgt hierover.
Zoals bij iedere vorm van distributie koopt ook de softwaredistributeur in bij de leverancier en verkoopt aan de afnemer. Wat echter “inkopen van licenties” precies betekent, is juridisch onduidelijk. Betekent dit dat men een licentie inkoopt zoals een zaak (à la 7:5 BW en Beeldbrigade arrest) of steeds licentieovereenkomsten sluit als gevolmachtigde tussen leverancier en eind gebruiker? Dit moet expliciet uit de distributieovereenkomst blijken.
Bij beide vormen kan vervolgens op vier manieren worden gewerkt: • Eén op één doorgeven van de software (distributie sec) • Her-verpakken en doorgeven onder de eigen naam van de distributeur (white label) • Verwerking in een eigen aanbod met meer dan enkel de software (value added) • Integratie in een eigen softwarepakket (integratie)
Naast bemiddeling kent de wet ook de figuur van de agentuur (art. 7:428 BW). Verschil tussen de agent en de bemiddelaar is dat een agentuurovereenkomst voor langere termijn wordt aangegaan en de bemiddelingsovereenkomst in beginsel gericht is op één of een specifiek omschreven aantal overeenkomsten. Het onderscheid tussen bemiddeling en agentuur is van belang omdat de rechten van de handelsagent niet eenvoudig weg te contracteren zijn (art. 7:445 BW).
Het gebruikelijkst is de eerste optie. Traditioneel wordt de software hierbij op een fysieke drager geleverd, al dan niet in een mooie doos in krimpfolie. Tegenwoordig is dit veel simpeler te realiseren door de software als download via internet te verschaffen. Het is in dit model gebruikelijk dat de eindgebruiker betaalt aan de distributeur, die vervolgens een vergoeding afdraagt aan de leverancier. De vergoeding zou een kortingspercentage op de normale prijs van de leverancier kunnen zijn, hoewel dit niet zonder meer kan, gezien het verbod op verticale prijsafspraken. De distributeur moet een eigen prijsbeleid kunnen voeren.
Inbreuk of onrechtmatig Een belangrijk discussiepunt bij licentieovereenkomsten is nog wel hoe een handeling aangemerkt moet worden die buiten de licentie valt. Deze is zowel als wanprestatie als onrechtmatige daad (auteursrechtinbreuk) te construeren. Hierbij zal de aard van de handeling de doorslag geven. Een handeling die hoe dan ook niet toegestaan was onder de licentie, zal primair als onrechtmatige daad aangemerkt worden. Een handeling die uitsluitend beheerst wordt door de overeenkomst, zal per definitie alleen wanprestatie kunnen zijn. Een handeling kan ook zowel wanprestatie als onrechtmatige daad opleveren: men publiceert een broncode op internet en schendt daarmee het auteursrecht (uitsluitend intern gebruik viel binnen de licentie) maar men pleegt ook wanprestatie (contractueel was geheimhouding van de broncode overeengekomen).
Verspreiding van software Veel softwareleveranciers maken gebruik van tussenpersonen die de software distribueren naar de beoogde eindgebruikers. Deze tussenpersonen hebben dan toegang tot specifieke markten, kunnen waardevolle bundels of oplossingen leveren waar de software dan deel van is, of beschikken over meer marketingmogelijkheden dan de leverancier.
Distributie of agentuur In beginsel distribueert een distributeur op eigen naam en voor eigen risico.
14 - ICTRecht
Vormen van distributie Om software te distribueren naar derden, de eindgebruikers van die software, zijn in beginsel twee vormen beschikbaar: 1. Distributie in fysieke vorm naar eindgebruikers 2. Distributie als dienst (SaaS) naar eindgebruikers De eerste vorm is het meest gebruikelijk. Hierbij wordt een kopie van de software aan de distributeur gegeven, die vervolgens kopieën aan eindklanten geeft. Deze werkwijze is relatief eenvoudig en al lang bekend. Het opzetten van een SaaS-omgeving vereist daarentegen een significante investering. Een populaire variant van SaaS-distributie is dan ook dat de leverancier zorgt voor de hosting van de SaaS en de distributeur niet meer hoeft te doen dan klanten werven die met hem een gebruiksovereenkomst of SaaS-licentie sluiten.
Het white-label model wordt ingezet wanneer de distributeur zich wil presenteren als de leverancier. De software wordt dan voorzien van zijn huisstijl en logo’s en daarna naar de eindgebruiker gedistribueerd. De feitelijke leverancier blijft buiten beeld. Bij value-added reselling bundelt de distributeur de software met andere software en/of diensten, zoals training in het gebruik of de installatie en configuratie bij de eindklant. Nog verder gaat de integratieovereenkomst waarbij de distributeur de software samenvoegt met eigen software en als één geïntegreerd geheel aan de eindgebruiker levert. Hierbij is gewoonlijk slechts één licentie nodig, namelijk op het geïntegreerde geheel.
Checklist licentiecontracten Een softwarelicentie verschaft de gebruiker een recht tot gebruik van software. Softwarelicenties worden in beginsel op grond van het auteursrecht verleend, hoewel in enkele gevallen (vaak naast het auteursrecht) ook een octrooirechtelijke licentie verleend wordt. Een softwarelicentie bevat de volgende elementen:
Introducerende bepalingen. Denk aan identificatie van partijen en overwegingen voor sluiting van de overeenkomst.
Aflevering van de software. Het is een formeel punt, maar het moet wel geregeld worden: de klant moet de software op zeker moment ontvangen. Gebruikelijke vormen zijn deze op een website te zetten waar de klant het kan downloaden, en de software proactief aan de klant overhandigen, bijvoorbeeld op een USB-stick of DVD.
Licentieverstrekking. Het gebruiksrecht (‘licentie’) dat wordt verleend aan de afnemer moet zo expliciet mogelijk worden vastgelegd. Meest gebruikelijk is één licentie per afnemer, maar in een zakelijke context is het goed denkbaar dat de afnemer de software op meerdere computers installeert.
Licentiebeperkingen. Het is gebruikelijk om een verleende softwarelicentie te laten volgen door een lijst van handelingen die expliciet niet mogen, hoewel dit strikt gesproken overbodig is.
Updates en upgrades. Alle software bevat fouten. Bovendien moet software snel op de markt komen, waardoor features nog wel eens weggelaten worden om de deadline te halen. Het doorvoeren van verbeteringen aan software is dan ook een noodzakelijk kwaad.
Intellectueel eigendom. Gebruikelijk is vast te leggen dat de leverancier alle rechten houdt en de klant slechts een gebruiksrecht (licentie) krijgt.
Garanties. Gebruikelijk zijn (beperkte) kwaliteitsgaranties. Ook garanties ten aanzien van (geen) inbreuk op rechten van derden komen vaak voor.
Vrijwaringen. De leverancier kan de klant vrijwaren van zekere claims, zoals inbreuk op rechten van derden. Trainingen. De leverancier kan klanten trainen in het gebruik van de software. Geheimhouding. Gebruikelijk is in ieder geval op te nemen dat de broncode geheim gehouden moet worden.
Aansprakelijkheid. De neiging vanuit leveranciers is uiteraard om aansprakelijkheid zo veel mogelijk uit te sluiten. Vanuit afnemers is de neiging juist deze risico’s zo veel mogelijk bij de leverancier te leggen.
Prijzen, facturatie en betaling. Audits. Wanneer het afrekenmodel afhankelijk is van factoren onder controle van de klant, is het redelijk dat de leverancier via een audit deze kan nalopen.
Duur, verlenging en opzegging. Gebruikelijk bij licenties is deze voor een of meer jaren te laten lopen, al dan niet met stilzwijgende verlenging.
Wijzigen van de overeenkomst. Afsluitende bepalingen. ICTRecht - 15
Auteur: Lisette Meij Juridisch adviseur Opleidingscoördinator
Impact van de meldplicht datalekken Vanaf 1 januari 2016 wordt het wettelijk verplicht om datalekken te melden. Zowel grootschalige inbraak als ieder kwijtraken, diefstal of onbevoegd gebruik van persoonsgegevens telt als een datalek. En dat is nog niet alles. Wie data laat lekken of persoonsgegevens verwerkt zonder zich netjes aan de wet te houden, loopt kans op boetes die kunnen oplopen tot € 810.000,- of 10% van de jaaromzet per overtreding. Wat betekent dit voor uw bedrijf?
1. Wat is een datalek? De wet spreekt van een datalek wanneer persoonsgegevens verloren raken of onrechtmatig worden verwerkt. Onder onrechtmatige verwerking valt onder andere het aanpassen en/of veranderen van persoonsgegevens en onbevoegde toegang tot, of afgifte daarvan. Kortom: een vrij brede definitie. Er is dus niet alleen sprake van een datalek als een hacker toegang tot persoonsgegevens krijgt. Ook verlies van een USB-stick in de trein, of het sturen van een mailing met adressen in het CC-veld (in plaats van het BCC-veld) telt al als datalek. En zelfs verlies van gegevens zoals bij een brand in het datacentrum terwijl er geen back up beschikbaar is, ziet de wet als een datalek. U dient als bedrijf preventief de juiste beveiligingsmaatregelen te nemen om datalekken te voorkomen. Dit kan bijvoorbeeld door gebruik te maken van encryptietechnieken. Lekken waarbij andere gegevens dan persoonsgegevens verloren zijn geraakt
16 - ICTRecht
of gestolen worden, zijn geen datalekken. Als de broncode van uw nieuwe software wordt ontvreemd, of een lijst met bedrijfs namen uit uw relatiebeheerpakket wordt gekopieerd, dan valt dat bijvoorbeeld buiten deze wet.
2. Wanneer moet u een datalek melden aan de toezichthouder? Niet elk datalek moet worden gemeld. De wet bepaalt dat ‘ernstige’ datalekken binnen twee werkdagen bij de toezichthouder gemeld moeten worden. Een lek kan ernstig zijn als het een grote hoeveelheid data betreft (kwantitatief ernstig), maar ook als het om gevoelige gegevens gaat (kwalitatief ernstig). Een paar voorbeelden uit de tweede categorie: • inloggegevens; • financiële gegevens; • kopieën van identiteitsbewijzen; • school- of werkprestaties; • gegevens die betrekking hebben op levensovertuiging; • gegevens die betrekking hebben op gezondheid.
3. Wanneer moet u een datalek melden aan de getroffen personen? Indien het datalek waarschijnlijk ongunstige gevolgen heeft voor het privéleven van de personen van wie de gegevens gelekt zijn, dient u - naast de melding aan de toezichthouder - het lek tevens binnen twee werkdagen te melden aan de personen waarvan de gegevens zijn gelekt. Dit zullen in de meeste gevallen klanten zijn. Ongunstige gevolgen zijn bijvoorbeeld: • identiteitsfraude; • discriminatie; • reputatieschade. Wanneer kwantitatief ernstige gegevens (zie vorige vraag) zijn gelekt, is eigenlijk altijd sprake van een ongunstig gevolg. Dit moet dus ook altijd worden gemeld aan de getroffen personen.
4. Wanneer hoeft u een datalek niet te melden? Een datalek dat aan het criterium van vraag 2 voldoet, moet u altijd melden aan de toezichthouder.
Daarbij doet het er niet toe of het datalek door een fout kwam of het gevolg was van overmacht. Een datalek hoeft echter niet aan de getroffen personen gemeld te worden wanneer de gelekte persoonsgegevens onleesbaar zijn. Hiervan is bijvoorbeeld sprake wanneer de persoonsgegevens versleuteld zijn of wanneer u de gegevens op afstand kunt verwijderen van bijvoorbeeld een gestolen laptop. U moet er dan wel zeker van zijn dat niemand de gegevens heeft kunnen inzien. U draagt hiervoor de bewijslast. De beoordeling of een datalek gemeld moet worden aan de toezichthouder en/ of aan de getroffen persoon, ligt te allen tijde bij u. Echter, maakt u een onjuiste inschatting dat er geen melding nodig is, dan kunt u dáár ook voor op de vingers getikt worden.
5. Hoe dient u een datalek te melden? De toezichthouder zal een standaard formulier beschikbaar stellen voor het melden van een datalek. Bij een datalek moet dus dit formulier ingevuld worden. Dit formulier zal vervolgens opgeslagen worden in een register van de toezichthouder, dat niet openbaar is. Mocht er naar aanleiding van het lek een boete opgelegd worden, dan zal dit besluit wel openbaar zijn. Een datalek wordt vanzelfsprekend ook openbaar op het moment waarop het aan de getroffen personen wordt medegedeeld.
6. Welke informatie moet u over een datalek bewaren? Wanneer u een datalek aan de toezichthouder meldt, dient u een overzicht hiervan in uw administratie te bewaren.
Dit overzicht moet de feiten en gegevens van het lek bevatten. Denk hierbij aan de oorzaak van het lek, de soort gegevens die gelekt zijn, het moment dat het lek is ontdekt en op welke wijze het lek gedicht is. Als u het datalek ook aan de getroffen personen heeft gemeld, is het belangrijk de communicatie hierover te bewaren. Voor het bewaren van de voornoemde gegevens dient u uit te gaan van een minimale bewaartermijn van één jaar. Maak hierover ook afspraken met de bewerker, zie hiervoor vraag 8.
7. Wat zijn de gevolgen van de wet? De wet kent vanaf 1 januari 2016 de mogelijkheid om boetes op te leggen wanneer niet voldaan wordt aan de wet. Deze boetes kunnen onder meer opgelegd worden voor: • het niet melden van een datalek terwijl dat wel moet; • het niet op orde hebben van de beveiliging; • het verwerken van persoonsgegevens zonder toestemming; • export van persoonsgegevens naar landen buiten de EU zonder dat goed geregeld te hebben. De boete kan oplopen tot € 810.000,- of 10% van de jaaromzet. Vaak zal er eerst een waarschuwing gegeven worden, maar de toezichthouder mag besluiten direct een boete op te leggen als u opzettelijk of grof nalatig heeft gehandeld.
8. Moet een bewerker datalekken melden? In veel gevallen wordt het verwerken van persoonsgegevens uitbesteed aan een derde partij. Deze derde partij noemt de wet een bewerker. Data kan bijvoorbeeld toegankelijk zijn voor een clouddienst
verlener die updates uitvoert op software, opgeslagen staan bij een hostingprovider, of beschikbaar zijn voor het marketing bedrijf dat e-mails in opdracht van klanten verzendt. Een bewerker hoeft een datalek niet te melden bij de toezichthouder. Wel moet de bewerker er zorg voor dragen dat haar klanten deze melding tijdig bij de toezichthouder kunnen maken. Er zullen daarom schriftelijke afspraken moeten worden gemaakt waarin wordt vastgelegd op welke wijze de klanten door de bewerker op de hoogte worden gesteld van een datalek. Deze afspraken kunnen worden opgenomen in een bewerkersovereenkomst. Let op: bent u bewerker en zijn bij een datalek ook gegevens met betrekking tot uw eigen klantadministratie gelekt, dan zult u ook zelf een melding van het lek moeten maken. U bent daar dan immers zelf verantwoordelijk voor.
9. Wat kunt u doen ter voor bereiding op de meldplicht? Goed voorbereid zijn op de meldplicht datalekken? Onderneem dan de volgende acties: • inventariseer wie uw gegevens verwerken en of met deze partijen een bewerkersovereenkomst is gesloten; • update uw bewerkersovereenkomsten met een bepaling omtrent datalekken; • sluit met iedere partij waarmee u samenwerkt een NDA (Non Disclosure Agreement) waarin u persoonsgegevens benoemt; • controleer hoe de bedrijven die voor u persoonsgegevens verwerken persoonsgegevens opslaan. Gebeurt dit veilig? Controleer dit uiteraard ook binnen uw eigen bedrijf;
ICTRecht - 17
• als bedrijven zeggen gecertificeerd te zijn (bijvoorbeeld ISO 27001), vraag dan naar de scope van deze certificering; • ga na bij uw verzekeraar of verzekeringstussenpersoon of u verzekerd bent tegen het lekken van persoons gegevens (een cyberrisico verzekering); • hanteer intern een procedure voor de omgang met, en melding van, datalekken.
10. Procedure meldplicht datalekken Zijn er gegevens gelekt en wilt u snel en overzichtelijk zien wat de procedure voor het melden van een datalek is? Zie hieronder de beslisboom voor het melden van datalekken.
1. Zijn de gegevens die zijn gelekt aan te merken als persoonsgegevens? Voorbeelden: namen, klantnummers, klantprofielen, (e-mail)adressen.
11. Vragen? Komt u er niet uit of een datalek gemeld moet worden, heeft u vragen over hoe u afspraken met derde partijen moet regelen of heeft u hulp nodig bij het opstellen van een interne procedure voor het melden van een datalek? Neem dan contact met ons op via 020 66 31 941 of
[email protected] en vraag naar onze privacyspecialisten.
Nee
U hoeft geen melding te doen.
Nee
U moet het lek melden aan uw klanten.
Nee
U hoeft geen melding te doen.
Nee
U hoeft geen melding te doen.
Nee
U hoeft alleen een melding te doen aan de toezichthouder.
Nee
U moet naast de toezichthouder ook de getroffen personen in kennis stellen van het datalek.
Ja 2. Zijn het uw ‘eigen’ klantgegevens die gelekt zijn? Voorbeelden: de gegevens die een hoster opslaat, of waar een clouddienstverlener toegang tot heeft, zijn gegevens van hun klanten en geen ‘eigen’ gegevens. Deze partijen worden aangemerkt als bewerker.
Ja 3. Zijn er persoonsgegevens verloren geraakt of onrechtmatig verwerkt? Voorbeelden: een verloren laptop, een hack, brand in een datacentrum of een oud-werknemer met toegang tot persoonsgegevens. Neem bij twijfel contact met ons op.
Ja 4. Zijn een groot aantal (kwantitatief) of gevoelige persoonsgegevens (kwalitatief) gelekt? Voorbeelden: meer dan duizend persoonsgegevens of gegevens zoals bankrekeningnummers, inloggegevens, gegevens omtrent gezondheid. Neem bij twijfel contact met ons op.
Ja 5. U moet de toezichthouder uiterlijk op de tweede werkdag na het ontdekken van het datalek in kennis stellen van het datalek. Ja 6. Heeft het datalek waarschijnlijk ongunstige gevolgen voor het privéleven van personen? Hiervan is bijvoorbeeld sprake wanneer er gevoelige persoonsgegevens zijn gelekt of als er een gevaar is voor identiteitsfraude. Neem bij twijfel contact met ons op.
Ja 7. Zijn de gelekte persoonsgegevens op een manier beveiligd zodat ze niet gelezen of gebruikt kunnen worden? Hiervan is bijvoorbeeld sprake wanneer er een goede encryptie is gebruikt. Neem bij twijfel contact met ons op.
Ja 8. Is de manier waarop de encryptie ongedaan gemaakt kan worden ook gelekt? Ja 9. U moet naast de toezichthouder ook de getroffen personen in kennis stellen van het datalek.
18 - ICTRecht
Nee
U hoeft alleen een melding te doen aan de toezichthouder.
Document opstellen Stel standaarddocumenten op in enkele minuten met behulp van een interactieve vragenlijst.
Documentbeheer Beschik over al uw juridische documenten en die van uw klanten op één plek. Vind daarnaast alle documenten gemakkelijk terug met de geavanceerde zoekmachine.
Alert service Ontvang een alert zodra de einddatum van een document dreigt te verlopen en zorg ervoor dat alle documenten up-to-date blijven.
Eigen brandig documenten Voeg de huisstijl van uw bedrijf of dat van uw klanten toe aan het document.
Keuze uit standaarddocument(en) Maak een keuze uit de lijst van beschikbare standaarddocumenten. Na selectie kunt u deze standaard documenten onbeperkt samenstellen voor u of uw klant.
Eigen documenten gebruiken Indien u eigen documenten wilt standaardiseren kunt u deze door JuriBlox laten importeren. Dit biedt u de mogelijkheid om uw eigen documenten sneller en efficiënter te verwerken.
Eigen sjablonen maken Vind alle benodigde bepalingen met de geavanceerde zoekmachine op basis van juridische geïndexeerde tags. Stel daarnaast sjablonen samen aan de hand van onze uitgebreide juridische database en de handige drag-and-drop functionaliteit.
Eigen juridische database Creëer een uitgebreide juridische database o.b.v. bepalingen uit uw eigen rechtsgebied. Dit biedt u de mogelijkheid gemakkelijk standaarddocumenten samen te stellen waardoor u sneller, efficiënter en consistenter te werk kunt gaan. Copy-pasten uit andere documenten is niet langer nodig!
Snel, consistent en up-to-date Minder tijd besteden aan standaard documenten? Meer tijd maken voor maatwerk voor uw klant? Juriblox maakt het mogelijk: stel snel documenten samen met uw eigen sjablonen en onze uitgebreide juridische database van bepalingen.
Auteur: Sten Demon Juridisch adviseur
Ja, gebruik een SLA! Zowel leveranciers als afnemers van diensten hebben al snel te maken met onduidelijkheid. Wat mag een afnemer bijvoorbeeld verwachten van de dienst? Wanneer is er eigenlijk sprake van wanprestatie aan de zijde van de leverancier? Een Service Level Agreement (SLA) biedt de oplossing. In een SLA leggen partijen vast welke kwaliteit van dienstverlening er geleverd moet worden. Door het niveau van de dienstverlening in detail te regelen, weten partijen precies wat ze van elkaar kunnen verwachten. Wanneer een leverancier kapotte producten levert, dan is makkelijk vast te stellen dat er sprake is van een tekortkoming van de leverancier. Bij dienstverlening ligt dit toch echt anders. Wat als een afnemer van Software as a Service (SaaS) een aantal weken gewoon gebruik kan maken van de SaaS, maar dat de SaaS ineens een hele werkdag niet bruikbaar is, is dit direct een tekortkoming? Of wat te denken van een leverancier die pas na twee weken de telefoon opneemt? Voor afnemers, zoals u, is het daarom verstandig om een SLA overeen te komen met uw dienstverlener. Een duidelijke SLA helpt u om grip te krijgen op de kwaliteit en beschikbaarheid van de dienst. Dit zorgt er tevens voor dat u precies weet waarvoor u betaalt. Hieronder worden de belangrijkste punten van een SLA besproken.
Resultaatsverbintenis In een SLA wordt vastgelegd welke kwaliteit van dienstverlening er geleverd moet worden. Doel van een SLA is in principe te zorgen voor objectieve maatstaven om vast te stellen of de leverancier tekortkomt in de nakoming
20 - ICTRecht
van zijn verbintenis of niet. Het is daarom de bedoeling om deze objectieve maat staven te formuleren als resultaatsverbintenissen (garanties), waardoor er harde verplichtingen voor een leverancier ontstaan. Het is niet verstandig om inspanningsverplichtingen (verplichtingen van de leverancier om zijn best te doen) op te nemen in een SLA. Dit ondermijnt namelijk het hele nut van een SLA.
Bijlage Een SLA wordt vaak als bijlage bij een hosting- of SaaS-overeenkomst (hoofdovereenkomst) gevoegd. Dit kan een leverancier standaard aanbieden, maar het komt ook voor dat een SLA of bepaalde service levels enkel aangeboden worden indien u bereid bent om hier een meerprijs voor te betalen.
Rangorde Omdat een SLA een aanvulling is op de hoofdovereenkomst, moet de SLA voorgaan op eventuele algemene voorwaarden of andere garantiebepalingen. In de SLA kan bijvoorbeeld een rangorde opgenomen worden, waarin staat dat de bepalingen in de SLA prevaleren boven de algemene voorwaarden en dat de bepalingen in de
hoofdovereenkomst prevaleren boven de bepalingen in de SLA.
Uptime garantie Zoals aangegeven kunt u met een SLA grip krijgen op de beschikbaarheid van de dienst. Het is dan ook van belang om de beschikbaarheid (uptime) van de dienst te regelen in een SLA. Het kunnen gebruiken van een clouddienst is tenslotte waar u voor betaalt. In een SLA wordt daarom vaak een beschikbaarheidspercentage van meer dan 99% opgenomen. Vaak houdt dit in dat een dienst niet meer dan een paar uur per maand ‘offline’ mag zijn.
Responstijd Met een SLA kunt u niet alleen grip krijgen op de beschikbaarheid van de dienst, maar ook op de kwaliteit van de dienst. Kwaliteit van dienstverlening houdt onder andere in dat de dienst goed en snel werkt. Niets is zo frustrerend als een dienst die wel werkt, maar buitengewoon traag reageert. In een SLA kunt u dan ook opnemen dat de website een responstijd heeft van maximaal twee seconden. De responstijd kan vervolgens gedefinieerd worden als: “de tijd tussen een verzoek aan de server en het laden
van de HTML-broncode die de server voor dat verzoek produceert”. Met een dergelijke bepaling heeft u de garantie van de leverancier dat de dienst niet alleen beschikbaar is, maar ook snel zal werken.
Metingen Het afspreken van specifieke percentages en tijden brengt met zich mee dat deze ook gemeten moeten worden. Het meten van de beschikbaarheid en responstijd is lastig, u kunt tenslotte een trage internetverbinding hebben of een internetprovider kan last hebben van een storing. Om deze factoren te elimineren en een objectieve meting te doen, is het het zuiverst om de meting zo dicht mogelijk bij de bron te verrichten. Het nadeel hiervan is dat enkel de leverancier de meting kan doen. Er zijn ook andere opties, bijvoorbeeld: het laten doen van metingen door een derde of in de SLA opnemen dat u de meting zal verrichten met een gemiddelde internetsnelheid en een moderne browser.
Storingen Storingen kunnen altijd voor komen en u heeft dat als afnemer vaak als eerste in de gaten. U zult dan ook moeten afspreken op welke manier een storing gemeld kan worden. Kan dit bijvoorbeeld telefonisch of moet dit via een ticketsysteem? Let wel op dat een ticketsysteem ook offline zal zijn wanneer de website offline is. Spreek ook duidelijk af welke gegevens u precies moet doorgeven bij het melden van een storing. De enkele melding “hij doet het niet”, daar heeft een leverancier natuurlijk niets aan.
Reactie- en oplostijd Een hoge kwaliteit van dienstverlening betekent ook dat de leverancier de telefoon snel opneemt. In een SLA kunt u dan ook met de leverancier afstemmen dat hij binnen een bepaalde tijd inhoudelijk zal reageren op een storingsmelding. Een automatische bevestiging van de storingsmelding is dus niet een reactie die hier bedoeld wordt. Uiteraard
kunt u ook afspreken dat storingen binnen een bepaalde tijd opgelost dienen te zijn. Van belang is om aan te geven vanaf welk moment deze tijden ingaan en om te definiëren wat precies een oplossing is. Voor dienstverleners is het bijvoorbeeld voordelig om aan te geven dat een workaround ook een oplossing is, ook al is het achterliggende probleem nog niet (volledig) verholpen. Vaak worden er verschillende reactie- en hersteltijden gehanteerd op basis van de ernst van de storing en het serviceniveau (bijvoorbeeld goud, zilver en brons). Er kan bijvoorbeeld worden afgesproken dat een ernstige storing eerder zal worden verholpen dan minder ernstige storingen en dat storingen sneller worden verholpen voor klanten met een gouden serviceniveau dan voor klanten met een zilveren serviceniveau.
Overmacht Het is uiteraard altijd mogelijk dat, buiten de macht van de dienstverlener om, situaties zich voordoen waardoor het onmogelijk wordt om de gemaakte afspraken na te komen. De wet regelt dat een partij niet aansprakelijk is in geval van overmacht. Het is echter aan te raden om specifiek te regelen dat bepaalde situaties géén overmacht opleveren. Denk hierbij aan een storing van de energieaanbieder van uw leverancier, dit moet gewoon voor risico van de leverancier komen.
boetebeding op te nemen. Dit zorgt ervoor dat u weet waar u aan toe bent en er ontstaat gelijk een prikkel voor de leverancier om de afspraken in de SLA na te komen. Boetes zijn standaard aan de lage kant. De meest voorkomende boete voor het niet nakomen van de afspraken is één dertigste van de vaste maandelijkse vergoeding voor elke dag waarop een gemaakte afspraak niet werd gehaald. Een dergelijke boete wordt vaak betaald door de leverancier in de vorm van een korting op de eerstvolgende factuur. Vaak wordt bij de boeteclausule over het hoofd gezien dat een boete, juridisch gezien, in de plaats treedt van schadevergoeding. Naast de korting op de eerstvolgende factuur, heeft u dus geen recht op schadevergoeding voor het niet nakomen van de afspraken. U kunt dit oplossen door specifiek te bepalen dat het boetebeding geen afbreuk doet aan uw recht op (aanvullende) schadevergoeding. Het werkt nog weleens verwarrend als er een boetebeding in de SLA is opgenomen, maar aansprakelijkheid van de dienstverlener is beperkt in de hoofdovereenkomst (welke hoger in rang is dan de SLA). Verstandig kan zijn om in de betreffende beperking van aansprakelijkheid op te nemen dat een boetebeding in een SLA boven de beperking van aansprakelijkheid gaat.
Tot slot Boetebedingen Wanneer een leverancier niet voldoet aan de afspraken in een SLA, dan schiet hij tekort in de nakoming en hierdoor ontstaat voor u het recht op schadevergoeding. Het is echter zeer inefficiënt en kostbaar om telkens naar de rechter te moeten stappen om een schadevergoeding te eisen. Al is het maar omdat uw schade lastig te bewijzen zal zijn. Het is dan ook noodzakelijk om in de SLA al afspraken te maken over de gevolgen van het niet nakomen van de afspraken. In dit kader is het gebruikelijk om een
Zoals aangegeven vormt een SLA een aanvulling op de hoofdovereenkomst en kun u er specifieke afspraken omtrent kwaliteit en beschikbaarheid van de dienst in opnemen. Een SLA kan voorkomen dat er juridische kosten gemaakt moeten worden om, in een eventuele juridische procedure, te achterhalen wat er precies afgesproken is tussen partijen. Door de vele variabelen in een SLA, is het tevens een handig document om te gebruiken in onderhandelingen. Kortom: Ja, gebruik een SLA!
ICTRecht - 21
Auteur: Niels Winters Juridisch adviseur
Internet of Things:
de weg naar een geautomatiseerd leven Bestaat het internet alleen maar uit aan elkaar gekoppelde computers waarmee personen communiceren? Mis. Al sinds de komst van het internet worden niet alleen personen gekoppeld aan het netwerk, ook apparaten hebben hier de toegang toe. Denk aan sluizen die op afstand kunnen worden bediend via een netwerkverbinding of een thermostaat waarmee je de verwarming vanuit de trein kan bedienen. De laatste jaren is er een opmars gaande waarbij alle mogelijke apparaten aan het internet worden verbonden. Intelligente systemen die ervoor zorgen dat de koffie klaar staat wanneer je thuiskomt of het brandalarm af gaat op je telefoon wanneer de rookmelder rook detecteert. Stuk voor stuk interessante ontwikkelingen, maar al die gekoppelde apparaten brengen ook nadelen met zich mee. Nadelen waar niet iedere gebruiker van op de hoogte is. Ontstaan Hoewel op dit moment steeds meer apparatuur op het internet wordt aangesloten, is het ‘internet der dingen’ als concept al langer geleden ontstaan. Het heeft een eerste toevlucht genomen op het moment dat apparatuur werd gekoppeld aan een mobiele telefoon, waarmee het betreffende apparaat kon worden uitgelezen of bestuurd. Door middel van het sturen van een sms of het inbellen op het nummer van de mobiele telefoon, kon verbinding worden gemaakt. Hiermee werden de apparaten als het ware gekoppeld aan het mobiele netwerk. Deze manier van werken is niet voor ieder apparaat weggelegd. Het is immers kostbaar om voor ieder apparaat een sim-kaart aan te schaffen. Als het gevolg
22 - ICTRecht
daarvan werden enkel de noodzakelijke apparaten gekoppeld, waarbij het te duur is om deze apparaten eens in een bepaalde tijd te bezoeken. Door de komst van sneller internet middels WiFi en het gebruik van smartphones, is het gemakkelijker om bepaalde apparatuur te koppelen en om deze apparatuur te besturen. Naast de WiFi-signalen (welke in het bereik beperkt zijn tot enkele tientallen meters) zijn enkele bedrijven – waaronder KPN – bezig met het uitrollen van een zogeheten LoRa-netwerk, wat staat voor Long Range. Dit netwerk is juist bedoeld voor de apparaten die zo af en toe informatie verstrekken, zonder dat hiervoor een simkaart of WiFi-netwerk noodzakelijk is. Daarnaast heeft het LoRa-netwerk een veel groter bereik en kan het signaal van één zendmast tot
wel 15 kilometer reiken. Een goed alternatief dus voor het gebruik van sim-kaarten.
Veiligheid Het koppelen van de apparatuur aan het (open) internet brengt nogal wat risico’s met zich mee. Een belangrijke factor daarbij is het feit dat thuisnetwerken niet altijd even goed beveiligd zijn. Zelfs een beginnende hacker zou al de controle kunnen overnemen van menig slimme thermostaat. Of wat te denken van een aanvaller die een geïnstalleerde beveiligingscamera uit kan schakelen door het netwerk te verstoren. Zeker als het gaat om apparaten die een grote impact hebben – denk aan de medische hulpmiddelen – moeten goed beveiligd zijn. Het moet immers niet mogelijk zijn om op afstand de pacemaker van iemand uit te
schakelen. Gezien het feit dat de afnemer vaak nauwelijks afweet van de risico’s of de beveiliging tegen deze risico’s, is het de taak van de fabrikant om de apparatuur op een degelijke wijze te beveiligen. Een interessante vraag die daaruit voort vloeit is: wie is aansprakelijk voor de gevolgen van inbraak op de apparatuur? Je zou zeggen dat dat altijd de fabrikant is, hij heeft immers het apparaat op de markt gebracht en heeft de meeste kennis hierover. Maar hoe zit het dan precies wanneer het thuisnetwerk niet op een juiste manier beveiligd is? Hier heeft de fabrikant over het algemeen geen invloed op. In dat geval zou aangeklopt kunnen worden bij de telecomprovider, welke de router heeft geleverd. Ook in dat geval zal het maar de vraag zijn of de telecom provider hiervoor aansprakelijk gesteld kan worden. De gebruiker dan? Maar die ontbreekt het vaak aan de benodigde kennis, en het is niet gezegd dat die kennis van hem verwacht mag worden. Op dit moment is er nog geen eenduidig antwoord te geven op deze vragen. Toch zal dit binnen afzienbare tijd van belang zijn, aangezien steeds meer handelingen zullen worden geautomatiseerd door middel van slimme apparaten.
Privacy Een ander belangrijk aspect van apparatuur die is verbonden met het internet is de privacy. Door bijvoorbeeld gas- of elektriciteitsmeters aan te sluiten op het netwerk, worden de gegevens over het verbruik automatisch verzonden naar de leveranciers. Op zichzelf geen probleem zou je denken, bewoners hoeven niet meer thuis te blijven voor het opnemen van de meterstanden. Echter is er voor het energiebedrijf nu heel wat meer informatie beschikbaar dan de consument denkt.
kan er advies gegeven worden om het verbruik of beweging te verbeteren. Daarnaast is de informatie ook interessant voor de bedrijven achter de apparatuur. Zij kunnen op basis van de informatieanalyses maken, waarmee zij gerichte aanbiedingen kunnen doen. Nog spannender wordt het wanneer de informatieanalyses worden verkocht aan andere partijen, waardoor de consument opeens berichten (lees: advertenties) ontvangt op basis van haar verbruik of gedrag. Dit proces van delen van informatie is iets wat je als gebruiker van de apparatuur niet gemakkelijk kan controleren. Op grond van de wet dient de leverancier van de apparatuur de gebruiker te wijzen op het gebruik van de gegevens die met de apparatuur wordt verkregen. De gebruiker dient hiervoor ook zijn toestemming te geven aan de leverancier. Toch levert dit nog geen garanties op met betrekking tot het delen van de persoonsgegevens. Een stap verder gaat het nog wanneer een bedrijf de gebruiker vraagt om gegevens geautomatiseerd aan te leveren in ruil voor korting. Onlangs bracht Achmea naar buiten dat zij korting geven op de verzekeringspremies wanneer de klanten gegevens met Achmea zullen delen. De gedachte van Achmea is helder: door preventieve maatregelen te nemen, zal de hoogte van de schadeclaims afnemen. Toch zit hier ook een minder positieve kant aan, want mogelijk zal de iets minder goede
rijstijl van een klant gestraft kunnen worden door een hogere premie. Of erger: als verzekerde wordt je niet meer aangenomen bij de verzekeraars.
Conclusie Het gebruik van ‘slimme apparatuur’ levert vele voordelen op. Door de apparaten met elkaar te verbinden en ze met elkaar te laten ‘praten’, hoeft de gebruiker nauwelijks nog zijn verwarming aan te zetten, medicatie toe te dienen of verlichting aan te doen. Deze winst aan gebruiksgemak zal ervoor zorgen dat het ‘internet der dingen’ een enorme toevlucht zal nemen in de komende jaren. Er zijn met betrekking tot de veiligheid en privacy nog wel enkele stappen te nemen. Zo dient er duidelijk te zijn wie opdraait voor de fouten als gevolg van hackpogingen en zal de gebruiker duidelijk moeten worden geïnformeerd over de verwerking van zijn persoonsgegevens. Fabrikanten zouden zich bijvoorbeeld moeten houden aan security-by-design en privacy-by-design. Toch zijn dit niet de enige valkuilen bij het gebruik van de slimme apparatuur. Mogelijk zullen er aanvullende regels moeten komen die antwoord geven op de vragen met betrekking tot deze onderwerpen. Met de komst van de Europese Privacyverordening zal mogelijk de eerste stap worden gezet. Daarnaast moeten mensen ook leren beseffen dat apparaten meer kunnen dan je zou denken.
Hetzelfde geldt voor de slimme thermostaten of de fitness-trackers. Deze apparaten slaan gegevens op die voor de gebruiker zelf interessant zijn. Door middel van een (online) app kunnen de gegevens worden uitgelezen en mogelijk
ICTRecht - 23
Auteur: Arnoud Engelfriet Partner
Internetrechtspraak Rb. Amsterdam (Ktr.) 29 mei 2015 (E-mail ingebrekestelling)
College van Beroep voor het bedrijfsleven 25 augustus 2015 (Pretium-boete)
Tussen Datavisual en TSL is een overeenkomst gesloten met betrekking tot ontwikkeling van een applicatie. Datavisual ontbindt deze per e-mail wegens wanprestatie. Echter, deze e-mail voldoet niet aan de vereisten van een ingebrekestelling omdat geen laatste kans is geboden maar alleen “Ik wil graag uiterlijk morgen 12:00 bericht hebben over aanpak en planning.” Dit kan niet worden aangemerkt als een aanmaning om binnen een bepaalde termijn de volledige werkzaamheden af te ronden.
Toezichthouder ACM heeft aan telecombedrijf Pretium een boete opgelegd wegens overtreding van de consumentenwetgeving. Pretium zou niet duidelijk genoeg zichzelf hebben geïdentificeerd bij wervende telefoongesprekken en te weinig informatie hebben verstrekt over het recht van ontbinding van een per telefoon gesloten overeenkomst. Pretium maakt bezwaar, onder meer vanwege het feit dat een ACM-medewerker aan een VARA-programma over Pretium meewerkte voordat de organisatie een besluit had genomen. Het CBb oordeelt dat de ACM terecht de boete heeft opgelegd, maar tikt de toezichthouder wel (lichtjes) op de vingers omdat in het programma niet gemeld is dat het onderzoek nog loopt en men te voortvarend een “infoflits” op de site opnam.
http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBAMS:2015:5838
Rechtbank Den Haag 15 juli 2015 (Licentie voor OEM-bundeling) Laptopbouwer Panasonic had van het bedrijf WWTS software in licentie voor bundeling op haar laptops. Volgens WWTS stond deze licentie niet toe dat versie 4 van de software mocht worden uitgeleverd. De rechtbank gaat daarin niet mee: versie 4 is door WWTS beschikbaar gesteld en uitgebreid aangepast op basis van de feedback van Panasonic. Verder hebben medewerkers van WWTS op diverse manieren gecommuniceerd dat men binnenkort kon gaan uitleveren (“ready for product launch”) en is nooit gewezen op een benodigde extra licentie. IEF 15188 http://www.ie-forum.nl/?//Panasonic+had+licentie+voor+IQonn+Software////34074/
24 - ICTRecht
http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:CBB:2015:278
Gerechtshof Amsterdam 12 augustus 2015 (Verborgen camera toyboy) Het televisieprogramma Powned zond beelden uit van de burgemeester van Maastricht die een afspraakje heeft met een jongeman die zichzelf als ‘toyboy’ afficheert. De uitzending leidde tot ophef vanwege eerdere vergelijkbare gebeurtenissen, die uiteindelijk de burgemeester tot aftreden dwong. Was de uitzending van deze verborgencamerabeelden gerechtvaardigd, nu het een publiek figuur betrof waarover reeds een debat werd gevoerd in de media? Nee, aldus het Hof: de ‘misstand’ is niet
groot genoeg en ook publieke personen hebben recht op privacy. Bovendien werd de ‘toyboy’ met een script aangestuurd, zodat men moeilijk kan spreken van enkel melden van een misstand. http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBAMS:2015:5070
Rechtbank Rotterdam 4 september 2015 (Toegangscode alarmsysteem als zaak) Een hotel laat een brandmeldinstallatie aanleggen. De installateur maakt gebruik van een onderaannemer, die feitelijke werkzaamheden uitvoert en onder meer een beheersapparaat installeert dat alleen werkt na invoering van een toegangscode. Na diverse klachten van de eindklant wil de installateur van de onderaannemer af. Deze weigert dat omdat hij gemotiveerd kan aantonen dat de klachten onterecht zijn. Bovendien wil hij de toegangscode niet afgeven tenzij een finale kwijting wordt gegeven op al zijn werkzaamheden en hij verder ontslagen wordt van alle verantwoordelijkheden voor toekomstig werk. De rechtbank meent dat afgifte van de code in principe volgt uit de overeenkomst, en dat het retentierecht op de code (die dus kennelijk een zaak is) niet mag worden gesteld omdat dit in de algemene inkoopvoorwaarden van de installateur verboden is. De code moet worden afgegeven, maar de installateur moet zich ervan vergewissen dat hij in de problemen kan komen als hij een derde vervolgwerk laat doen. De overeenkomst met de onderaannemer is immers nog gewoon van kracht en de installateur kan dus in schuldeisersverzuim komen door nu een derde los te laten op het systeem. http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBROT:2015:7101
Rechtbank Overijssel 7 september 2015 (Verkeersbord op Street View) Een automobilist stelt beroep in tegen een verkeersboete voor te hard rijden op de Plesmanweg in de gemeente Almelo. Hij stelt dat de weg waar hij reed, nog onder een eerder geplaatst 70-bord viel. De rechtbank controleert de route van de automobilist via Google Streetview en consta-
teert dat hij inderdaad een 70-bord zou zijn tegengekomen maar geen 50-bord. De verkeersboete wordt vernietigd en de rechter verzucht “Misschien zou het daarom een service aan de weggebruiker zijn, en effectief bijdragen aan de veiligheid in de bebouwde kom van Almelo, als in de zijwegen van de ringweg herhalingsborden A1 “50” zouden worden geplaatst … om […] te herinneren aan de algemene snelheidslimiet van 50 km/h”.” http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBOVE:2015:4106
Hoge Raad 11 september 2015 (iPad is computer) Een werkgever verstrekt iPads aan haar werknemers en rechtvaardigt dit fiscaal door te stellen dat de iPads (vrijgestelde) communicatiemiddelen zijn. De wet kent twee categorieën: ‘telefoon, internet en dergelijke communicatiemiddelen’ en ‘computers en dergelijke apparatuur en bijbehorende apparatuur’. Een iPad heeft kenmerken van beiden: men kan ermee bellen maar ook rekenen en teksten verwerken. De HR bepaalt dat de wet vereist dat men eerst bepaalt of een apparaat een computer is, en pas bij een ontkennend antwoord toetst of het apparaat een communicatiemiddel is. Dit omdat de wet de computer als uitzondering op de communicatiemiddelen definieert (art. 15b lid 1 Wet Loonbelasting 1964). Nu digitale agenda’s, mini-notebooks en GPS-apparatuur in de wetsgeschiedenis genoemd zijn als ‘computers’, en een iPad de kenmerken van deze apparaten deelt, is een iPad een computer. http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:HR:2015:2496
Gerechtshof Den Haag 22 september 2015 (Wapperverbod eigendom) Het bedrijf SDC Verifier ontwikkelt software in samenwerking met een bedrijf uit Oekraïne. Dit laatste bedrijf stuurt op zeker moment brieven naar klanten en relaties van SDC met de stelling dat haar eigendomspretenties op de software “geen recht worden gedaan”. De kennelijke indruk is dat SDC in strijd handelt met de auteursrechten van
ICTRecht - 25
dit bedrijf. Het Hof komt tot de conclusie dat partijen een gezamenlijk auteursrecht bezitten op de software. Hoewel dit in principe vereist dat partijen elkaars toestemming nodig hebben voor iedere handeling met de software, bepaalt het Hof dat partijen los van elkaar over hun deel mogen beschikken. Op grond van artikel 3:171 BW en artikel 26 Aw is iedere deelgenoot in een gemeenschappelijk auteursrecht immers afzonderlijk bevoegd tot handhaving van het recht op het gemeenschappelijk werk tegen inbreuken. Naar het voorlopig oordeel van hof geldt dit slechts voor inbreuken door derden en zien deze bepalingen niet op vorderingen tegen een andere deelgenoot (vergelijk HR 8 september 2000, NJ 2000, 604) en kan een van de deelgenoten niet zelfstandig het auteursrecht handhaven tegenover een andere deelgenoot, althans wanneer dat niet in het belang is van de gemeenschap. Het Oekraïense bedrijf krijgt een wapperverbod opgelegd. http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:GHDHA:2015:2592
Rechtbank Den Haag 23 september 2015 (Verwijderverzoek Google) Op een misdaadblog, gehost bij Google, wordt bericht over een reportage over een geplande huurmoord die niet mag worden uitgezonden. (De kortgedingrechter had de reportage onrechtmatig geacht, mede omdat gestolen beeldmateriaal was gebruikt.) Naam en foto van de eiser werden getoond met de insinuatie dat hij de opdrachtgever van de huurmoord zou zijn. Eiser eist verwijdering, omdat het artikel onjuistheden en onterechte suggesties en conclusies bevat, terwijl eiser nooit in de gelegenheid is gesteld om op de inhoud van het artikel te reageren. De rechtbank acht Google Nederland BV geen aansprakelijke partij omdat de blogdienst door Google Inc wordt gehost. Google Inc hoeft het artikel ook niet te verwijderen, omdat de onrechtmatigheid van het bericht niet onmiskenbaar is (art. 6:196c BW).
26 - ICTRecht
Het artikel is grotendeels een bespreking van het kortgedingvonnis. http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBDHA:2015:11276
Rechtbank Noord-Holland 24 september 2015 (App-beheer) Gedaagde (ontwikkelaar van app) heeft aan eiseres (een au pair bemiddelingsbureau) de toegang tot de beheersfunctionaliteiten van de app ontzegd, waardoor eiseres haar community van au pairs niet meer kan bereiken. De ontwikkelaar stelt eigenaar te zijn van de gebruikersdata en verbiedt het bureau toegang en gebruik van die data. Gezien de situatie en onder meer de kwetsbare groep gebruikers (jonge au pairs in het buitenland) bepaalt de rechtbank dat het bureau toegang moet krijgen tot het dashboard, alsmede in staat moet zijn om oneigenlijk gebruik van de app te bestrijden. Verder is het de ontwikkelaar verboden berichten naar de gebruikers van de app te sturen die niet tevoren met eiseres zijn afgestemd, een en ander op straffe van een dwangsom. http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBNHO:2015:8098
Rechtbank Oost-Brabant 28 september 2015 (Ruime uitleg cameratoezicht) Busvervoerder Hermes heeft camera’s ingezet voor toezicht in haar bussen. Het reglement vermeldt daarover “De camerabewaking is uitdrukkelijk niet bedoeld om het gedrag van medewerkers te observeren, tenzij sprake is van een redelijk vermoeden van een misdrijf of betrokkenheid daarbij.” Hermes zet later de beelden in om chauffeurs aan te spreken bij klachten en hun “gedrag te verbeteren”. De OR maakt met succes bezwaar: dit is in strijd met het reglement, ook als Hermes stelt een zorgplicht naar haar klanten te hebben.
http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBOBR:2015:4762
Rechtbank Rotterdam 2 oktober 2015 (Webinjecties bankwebsites) Verdachten infecteerden via een botnet een groot aantal computers met malware. Deze malware was op maat gesneden en bestond uit webinjects waardoor computergebruikers een ogenschijnlijk authentieke website van hun bank getoond werd, terwijl dat in werkelijkheid een bijna niet van echt te onderscheiden valse site was. De daders konden vervolgens beschikken over alle door de rekeninghouders ingevoerde gegevens. De daders waren uiteindelijk in staat om zich onbevoegdelijk toegang tot de bankrekeningen te verschaffen en vervolgens van daar uit geld over te maken. Zij hebben verschillende methoden toegepast om hun eigen rol hierbij zoveel mogelijk te verhullen. Rechtbank merkt dit aan als computervredebreuk. http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBROT:2015:7039
Hof van Justitie EU 6 oktober 2015 (Safe Harbor ongeldig) Export van persoonsgegevens naar landen buiten de EER is niet toegestaan (art. 79 Wbp) tenzij dat land een adequaat niveau van bescherming hanteert. Een uitzondering hierop is voor de VS wanneer het bedrijf zich aangemeld heeft bij het Safe Harbor-programma van het Ministerie van Handel. Volgens de Europese Commissie wordt de export dan veilig geacht. Het Hof bepaalt echter dat dit niet genoeg is. Allereerst mag de EC geen dingen verklaren waar uiteindelijk privacytoezichthouders het laatste woord over hebben, en dat was waar de “wordt geacht” uit de Safe Harbor-overeenkomst op neer komt. Ten tweede mogen alle besluiten van de EC getoetst aan het Charter met fundamentele rechten van de mens. Het Hof komt daarbij tot de conclusie dat de Safe
Harbor niet veilig is, aangezien de Amerikaanse bedrijven hoe dan ook verplicht zijn gehoor te geven aan alle verzoeken onder Amerikaans recht van overheidsdiensten. Derhalve mag dit niet als grond voor export worden gebruikt. Zie ook de noot op pagina 30-31. http://curia.europa.eu, zaak C‑362/14.
Rechtbank Den Haag 9 oktober 2015 (Auteursrecht op scripts) Een bedrijf laat een eenmanszaak een website ontwikkelen, inclusief bijbehorende programmatuur (“scripts”) die gegevens analyseren en de website dynamisch vullen. Na een conflict over niet betaalde facturen verstrekt de eenmanszaak het script ook aan een derde, waarna het bedrijf stelt dat dit in strijd is met haar auteursrechten. De rechtbank ziet dit script als zelfstandig werk onder de Auteurswet, los van de (reeds bestaande) website. Dat het script uiteindelijk zich ‘uit’ in een dynamische verschijning op de website, doet daar niet aan af. Vraag is vervolgens bij wie de rechten daarop liggen. Hoewel bij offerte afstand is gedaan van een auteursrechtvoorbehoud ten gunste van de eenmanszaak, ziet de rechtbank dit beperkt: die toezegging was gedaan onder de verwachting dat weinig creatief werk nodig zou zijn omdat de eerste opdracht ging over onderhoud en niet meer. De rechten op nieuw werk blijven daarmee bij de eenmanszaak. De verkoop van het script is desondanks onrechtmatig, omdat het script naar zijn aard elementen en informatie uit de website van het bedrijf bevat, waarop het bedrijf rechten kan doen gelden. http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBDHA:2015:11848
Hoge Raad 13 oktober 2015 (Tonen camerabeelden verdachten) In de zogeheten kopschopper-zaak uit 2013 publiceerde het OM camerabeelden (video’s) van een groep verdachten
ICTRecht - 27
die een jongeman tegen het hoofd schoppen terwijl deze al bewusteloos op de grond ligt. De beelden maken veel los en leiden indirect tot aanhouding van vier verdachten, waarvan drie minderjarig. De verdachten worden in brede kring herkend en dit heeft allerlei negatieve gevolgen. Het Gerechtshof zag hierin aanleiding om tot strafvermindering over te gaan. De HR formuleert nu een kader met zeven factoren om te toetsen of publicatie van camerabeelden legaal is. Enkel dat de beelden van de openbare weg komen, voldoet niet. Ook de persoon van de verdachte moet worden meegewogen, net als de mate van herkenbaarheid en de ernst van het delict. Ook een factor is of de beelden gemaakt zijn op camera’s die te verwachten waren (vergelijk opgehangen camera’s in uitgaansgebieden versus een verborgen camera op een wc). En verder speelt mee of de beelden alleen voor opsporing worden ingezet of ook daarbuiten hergebruikt kunnen worden. Meer algemeen moet gebruik van de beelden voldoen aan wet- en regelgeving. En hoe dan ook mag de rechter alsnog strafvermindering geven vanwege het nadeel veroorzaakt door publicatie, ook indien dit niet aan het toedoen van het openbaar ministerie te wijten is of indien dit niet als een schending van art. 8 EVRM kan worden aangemerkt. http://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:HR:2015:3024
voor kinderen of door de redactie geselecteerde video’s van lezers. Slechts een klein deel van de video’s in het subdomein met video’s hield verband met de artikelen op de website van de Tiroler Tageszeitung. Het Oostenrijkse Commissariaat voor de Media merkte de subsite aan als audiovisuele mediadienst in de zin van richtlijn 2010/13, waarmee deze aan de regels uit deze richtlijn onderworpen zou zijn (en bijvoorbeeld niet overdag voor kinderen ongeschikt materiaal mag aanbieden). Het Hof bepaalt dat dat terecht is; een videosite is een mediadienst als deze “een autonome inhoud en functie heeft ten opzichte van de journalistieke activiteit van de beheerder van de litigieuze website, en niet enkel een onlosmakelijke aanvulling op deze activiteit is”. http://curia.europa.eu, zaak C‑347/14.
Hof van Justitie EU 22 oktober 2015 (Bitcoinhandel is btw-vrij) Het omwisselen van traditionele valuta’s tegen bitcoins en andersom kan worden gezien als valutahandel, die vrijgesteld is van btw. Vereist is wel dat deze wisseldienst wordt verricht tegen betaling van een bedrag dat overeenkomt met de marge die ontstaat uit het verschil tussen de prijs waarvoor de betrokken marktdeelnemer de valuta’s koopt en de prijs waarvoor hij deze verkoopt aan zijn klanten. http://curia.europa.eu, zaaknr. C-264/14.
Hof van Justitie EU 21 oktober 2015 (Video’s op nieuwssite als mediadienst) Een Oostenrijkse krant opereert een nieuwssite en plaatst daar ook korte video’s, totaal meer dan 300 op een apart subdomein. De onlinevideo’s bevatten redactioneel bewerkte berichten van variërende lengte (van ongeveer 30 seconden tot enkele minuten) over verschillende onderwerpen, zoals lokale gebeurtenissen en evenementen, straatinterviews over actuele onderwerpen, sportevenementen, filmtrailers, knutselhandleidingen
28 - ICTRecht
Rechtbank Amsterdam 22 oktober 2015 (Handel in klantenbestand) Een headhuntersbureau dat zich specialiseert in “topvrouwen” heeft financiële problemen en er wordt beslag gelegd op onder meer een klantenbestand met zo’n 10.000 persoonsgegevens van haar klanten. De deurwaarder kondigt openbare verkoop hiervan aan, waarop ongeveer 40 mensen bezwaar maken. In reactie stelt de
deurwaarder de verkoop te beperken tot een partij in dezelfde branche als dit bureau, dus niet aan roddelbladen. De rechtbank ziet dan ook geen probleem: uit de wet vloeit voort dat degenen die mogen bieden op het databestand gebonden zullen zijn aan dezelfde regelgeving met betrekking tot persoonsgegevens en privacy als het headhuntersbureau en dezelfde discretie in acht dienen te nemen. Voldoende aannemelijk is dan ook dat de koper van het databestand dit voor hetzelfde doel zal gebruiken. Hiermee zijn de gegevens van de personen die zijn opgenomen in het databestand en hun privacy vooralsnog voldoende gewaarborgd. http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBAMS:2015:7501
Rechtbank Limburg 28 oktober 2015 (Onderzoek smartphone) Al sinds jaren worden bij strafzaken in beslag genomen smartphones routinematig doorzocht met een beroep op artikel 94 Strafvordering. Het Hof Arnhem trok echter een streep (ECLI:NL:GHARL:2015:2954) door deze doorzoeking: artikel 94 Strafvordering biedt onvoldoende waarborgen om doorzoeking van een smartphone te rechtvaardigen. De rechtbank weigert deze streep te volgen. Zij ziet in artikel 27 Sv de door artikel 8 EVRM vereiste subsidiariteits- en proportionaliteitstoets. Een doorzoeking is in deze visie slechts geoorloofd indien deze geschiedt ten dienste van het onderzoek naar een verdenking. Aan de eisen van proportionaliteit en subsidiariteit is daarmee voldaan. Het argument van het Hof dat deze toets te generiek is en daarmee te makkelijk misbruikt kan worden, komt niet aan de orde. http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBLIM:2015:9128
Rechtbank Limburg 29 oktober 2015 (Toegang tot facturatiesysteem) Een bedrijf beëindigt haar lidmaatschap van de coöperatie Glassconnect en wordt vervolgens de toegang ontzegd tot onder meer het facturatiesysteem dat hij kon gebruiken in het kader van de samenwerking. Glassconnect weigert dit omdat het bedrijf geroyeerd is en men niet langer wil dat hij de naam Glassconnect gebruikt (hetgeen onlosmakelijk verbonden is met gebruik van het facturatiesysteem). Het bedrijf verklaart het systeem niet te willen gebruiken als administratie of voor het aanmaken van nieuwe facturen. Hij wil immers niet langer onderdeel zijn van de coöperatie en heeft bij gebruik van het systeem geen belang meer. Hij heeft nog twee maanden toegang nodig enkel om lopende zaken af te wikkelen. De rechter vindt dit een redelijk belang en verplicht Glassconnect nog acht weken toegang te verschaffen voor dit doel. Wel moet binnen 14 dagen ieder overig gebruik van handelsnaam, auteursrechten en dergelijken worden gestaakt. http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBLIM:2015:9159
Gerechtshof Den Haag 3 november 2015 (Domeinregistratie geen handelsnaamgebruik) Een aantal partijen werkt samen in een vennootschap onder firma en maakt daarbij afspraken over individueel gebruik van een gedeelde handelsnaam. Na faillissement en andere tegenslag ontstaat ruzie over dit handelsnaamgebruik, waarbij een der partijen de in juni 2010 geregistreerde domeinnaam (gelijk aan de handelsnaam) als argument gebruikt om de handelsnaam te mogen voeren. Echter, aldus het Hof: het enkele registreren van een domeinnaam levert geen gebruik van een handelsnaam op als bedoeld in de Handelsnaamwet, net zomin als het inschrijven van een naam in het handelsregister. http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:GHDHA:2015:3024
ICTRecht - 29
Auteur: Arnoud Engelfriet Partner
Noot bij Hof van Justitie EU 6 oktober 2015 (Safe Harbor ongeldig) Per 6 oktober is het niet langer mogelijk persoonsgegevens naar de VS te transporteren of aldaar op te slaan met een beroep op het Safe Harbor-regime. Het Hof van Justitie bepaalde op die datum dat het convenant tussen de Europese Commissie en de VS ongeldig was, omdat het in strijd was met hoger Europees recht. De uitspraak zorgde voor veel consternatie: diverse media meldden dat het gebruik van Facebook niet langer toegestaan zou zijn. Dat is natuurlijk onjuist. Wel is het nu behoorlijk problematisch geworden om nog persoonsgegevens in de VS te (laten) verwerken. Safe Harbor is een reactie op het beginsel uit de Europese Richtlijn gegevens bescherming, bij ons omgezet in artikel 79 Wet bescherming persoonsgegevens. Dit beginsel bepaalt dat export van persoonsgegevens naar landen buiten de Europese Unie niet toegestaan is, behalve als dat land een adequaat beschermingsniveau van persoonsgegevens hanteert. De Richtlijn biedt vervolgens de mogelijk heid voor de Europese Commissie om een beslissing te nemen dat een bepaald land onder nadere voorwaarden een adequaat niveau van bescherming hanteert. En in 2000 besloot de Europese Commissie dat het Safe Harbor-regime ontwikkeld door de Verenigde Staten hieronder valt.
30 - ICTRecht
Kort gezegd komt Safe Harbor erop neer dat Amerikaanse bedrijven zich aanmelden bij het ministerie van Handel en daarbij verklaren zich aan de Europese regels omtrent bescherming van persoons gegevens te conformeren. Een Europees bedrijf kan via de website van het ministerie deze aanmeldingen inzien en vervolgens gegevens exporteren naar een dergelijk Amerikaans bedrijf. (Uiteraard moet er nog steeds een bewerkersovereenkomst zijn met het bedrijf, of moet het bedrijf een eigen grondslag hebben om de gegevens te verwerken.) Het is enigszins opmerkelijk dat het gaat om zelfcertificering: er is geen toetsing, noch vanuit het Amerikaanse ministerie noch vanuit Europese toezichthouders, of een
bedrijf zich werkelijk aan de Safe Harbor-regels of de Europese privacyregels houdt. De uitspraak die Safe Harbor ongeldig verklaart, is een uitkomst van het al lang lopende conflict dat Oostenrijker Max Schrems heeft met Facebook. Schrems probeert via de Ierse toezichthouder (Facebook opereert in Europa vanuit Ierland) af te dwingen dat Facebook zich aan de Europese gegevensbeschermingswetgeving houdt. De zaak begon met een inzageverzoek: wat weten jullie allemaal over mij. Later kwamen daar aanvullende eisen bij, zoals een handhavingsverzoek aan de Ierse toezichthouder om export naar de VS door het Ierse Facebook
tegen te houden omdat – Snowden – de VS toch zeker geen adequaat niveau van bescherming van persoonsgegevens bood. De toezichthouder weigerde dit verzoek in te willigen, met onder meer het argument dat in het Safe Harbor-convenant was vastgelegd dat de Verenigde Staten geacht worden een adequaat beschermingsniveau te hebben. Deze uitspraak van de Europese Commissie was niet voor toetsing vatbaar, aldus de toezichthouder. De Ierse rechter bevestigde het oordeel. Hoewel het duidelijk is dat de VS zwaar tekort schiet, mag de rechter niet tornen aan dit convenant. De hoogste Ierse rechter besloot hier vragen over te stellen aan het Hof van Justitie: is een toezichthouder gebonden aan het oordeel van de Commissie of mag zij een eigen inschatting van de situatie maken? Het Hof van Justitie begint met vaststellen dat de bescherming van persoonsgegevens een afgeleide is van het fundamentele recht tot bescherming van de persoonlijke levenssfeer, zoals vastgelegd in het Handvest (Charter) van fundamentele rechten dat bindend EU-recht is. Langs deze weg zegt het Hof dus eigenlijk dat alle EU-wetgeving getoetst kan (en moet) worden aan de grondrechten. Dit toont aan dat het beschermen van persoonsgegevens van het grootste belang is, en de uitleg van regelingen zoals de richtlijn gegevensbescherming moet dus ook streng in het voordeel van deze grondrechten worden uitgevoerd. In de richtlijn wordt expliciet gesproken van nationale toezichthouders, zoals het College Bescherming Persoonsgegevens, die verantwoordelijk zijn voor handhaving op de bepalingen uit de richtlijn. Deze toezichthouders behoren dus, aldus het Hof, het laatste woord te hebben. Bovendien mag de Europese Commissie niet zomaar vaststellen dat iets “geacht wordt” veilig te zijn; dat beslist die toezichthouder en – uiteraard – uiteindelijk het Hof van Justitie zelf. Zeker als de Commissie iets vaststelt dat in strijd lijkt te zijn met de fundamentele rechten uit het Charter.
Vervolgens toetst het Hof het Safe Harbor-convenant aan het Charter en komt vrij eenvoudig tot de conclusie dat het convenant niet geldig kan zijn. Zelfcertificering is op zich al onder de maat, maar het is een andere uitzondering waarop het convenant sneuvelt. Het convenant vermeldt namelijk expliciet dat Amerikaanse bedrijven vanuit ‘national security, public interest, or law enforcement requirements’ gehoor moeten geven aan nationale wetgeving, zelfs als dat in strijd zou zijn met de Safe Harbor-vereisten. Dat biedt een gat waar men een spreekwoordelijke vrachtwagen doorheen kan rijden. Dit is onmogelijk te rijmen met de Europese waarborgen omtrent persoonsgegevens, en het convenant kan dan ook niet anders dan ongeldig zijn. Exit Safe Harbor, begin van de paniek: wat nu? Er zijn nog twee formele routes open: de aparte toestemming van de betrokkene en de modelcontracten. Aparte toestemming zou betekenen dat elke Europese dienst die onder de motorkap met een Amerikaans bedrijf werkt, een pop-up moet gaan voeren met daarin de vraag “Mogen wij uw gegevens in de VS opslaan?”. De cookiewet on steroids, als het ware. Dat kan niet waar zijn. Werken met modelcontracten is dan ook de meest toegepaste optie op dit moment. De breed opgeschreven standaardclausules die de Europese Commissie publiceerde, kunnen worden gebruikt om een contract samen te stellen dat althans in theorie voldoet aan de eisen uit artikel 79 Wbp. In theorie, want uiteindelijk moet ook díe regeling voldoen aan het Charter. En gezien de overwegingen van het Hof omtrent de Amerikaanse toegang tot persoons gegevens, ligt het in de rede dat zij ook de grootste moeite zal hebben met een verwerking in de VS op basis van een modelcontract. Immers, ook dan kan de Amerikaanse Justitie eenvoudigweg met een beroep op ‘national security’ bij de gegevens.
Naar de Europese clouddiensten dan maar? Immers, data opgeslagen bij Amazon in Ierland of Microsoft in Brussel valt onder een dochtermaatschappij die gewoon onder Europees recht valt. Het is nog maar de vraag of dat gaat helpen. We hebben al een tijdje een slepende rechtszaak tussen Microsoft en de Amerikaanse overheid, met de vraag centraal of de overheid gegevens mag opeisen bij Microsoft-dochters in Europa. De rechter in eerste instantie zei van wel, het hoger beroep loopt. Als dát overeind blijft, zijn ook die datacenters verboden terrein voor Europese bedrijven. Alles bij elkaar weinig positiefs dus. Uiteindelijk komt het erop neer dat eigenlijk de VS gewoon te onbetrouwbaar is om persoonsgegevens te parkeren. Echter, de economische afhankelijkheid bij ICT-diensten van Amerikaanse leveranciers is zó groot dat rigoreus kappen met die dienstverlening eenvoudigweg onhaalbaar is in de praktijk. Gaat er wat gebeuren? Het zou me dan ook verbazen. De impact is namelijk zo groot dat weinigen er aan zullen willen. Eerst maar eens een jurist zorgvuldig naar laten kijken, en dan afwachten wat de concurrent gaat doen. Want het kost gewoon gigantisch veel geld om equivalente diensten te vinden – als die er al zijn. Als de concurrent lekker op Amazon blijft zitten, dan ben je weliswaar legaal bezig maar commercieel heel dom. Wellicht dat de nieuwe wetgeving persoonsgegevens per 1 januari hier wat in gaat veranderen. Die heet weliswaar meldplicht datalekken maar hij zet ook boetes op het exporteren van persoonsgegevens zonder juridische basis. Maar u kent mij als professioneel cynicus: het zou me verbazen.
ICTRecht - 31
Van onze blog ICT R ECH T
Wanneer is een beveiligingsniveau ‘passend’ volgens de wet? Steeds vaker worden wettelijke eisen gesteld aan de beveiliging van (persoons-) gegevens. Omdat wetgeving per definitie achter de feiten aanloopt en de ontwikkelingen op technisch gebied razendsnel gaan, wordt wetgeving vaak ‘technologie-neutraal’ opgesteld. Een nadelig gevolg is dat de regels daardoor abstract en vaag worden. Zo schrijft de privacywetgeving voor, dat bij de verwerking van persoonsgegevens ‘passende technische en organisatorische maatregelen’ moeten worden getroffen. Die maatregelen moeten leiden tot een ‘passend beveiligingsniveau’. Dit soort eisen zien we ook terugkomen in andere wetgeving. Maar wat wordt er nou eigenlijk mee bedoeld? In het woordje ‘passend’ ligt besloten dat de maatregelen proportioneel moeten zijn. Wat proportioneel is, verschilt van geval tot geval. Zo kunnen bepaalde beveiligingsmaatregelen bij precies dezelfde gegevensverwerkingen in het ene geval ‘passend’ zijn, maar onder andere omstandigheden ontoereikend.
30 oktober 2015 door Kors Monster
Een voorbeeld: twee verenigingen sturen een nieuwsbrief naar hun leden. De risico’s van de verwerkingen zijn praktisch hetzelfde. Maar omdat de ene vereniging een tennisclub is en de andere een groep voor lotgenoten van seksueel misbruik, moet er een verschillend beveiligingsniveau gehanteerd worden. De gegevens zijn in het laatste geval immers een stuk gevoeliger van aard dan bij de tennisclub. Komt de informatie op straat te liggen, dan heeft dit grotere gevolgen voor de betrokkenen. Vooropgesteld dient te worden dat de organisatie zelf moet afwegen wanneer sprake is van een ‘passend beveiligingsniveau’. Zij doet dit het beste door de plan-do-check-act-methode toe te passen. De vier stappen uit deze methode vormen het uitgangspunt bij deze bespreking.
Plan: opstellen van betrouwbaarheidseisen De betrouwbaarheidseisen geven weer aan welke eisen het informatiesysteem moet voldoen. De betrouwbaarheid van een systeem wordt doorgaans beschreven aan de hand van drie aspecten: confidentiality, integrity en availability. Om betrouwbaarheidseisen op te kunnen stellen, zal vaak eerst een risico analyse gemaakt moeten worden.
32 - ICTRecht
Uitgegaan moet worden van de risico’s voor de betrokkenen (dus niet de organisatie zelf) en de gevolgen voor hen, wanneer de risico’s zich verwezenlijken. In het voorbeeld van de verenigingen bestaat het risico uit het lekken van persoonsgegevens.
Do: treffen van maatregelen De betrouwbaarheidseisen moeten vertaald worden naar concrete beveiligingsmaatregelen. Die kunnen technisch, maar ook organisatorisch van aard zijn. Maatregelen kunnen erop gericht zijn de kans dat risico’s zich voordoen te verlagen, maar kunnen er ook op gericht zijn de gevolgen voor betrokkenen te verkleinen. Voorbeeld: het versleutelen van gegevens leidt in principe niet tot een verminderde kans op een lek, maar wel tot lagere risico’s. Andersom leidt anti-virussoftware tot een kleinere kans dat het risico zich voordoet, maar blijven de mogelijke gevolgen voor betrokkenen – bij het voordoen van het risico – even groot. Bij het opstellen van beveiligingsmaatregelen kan aangesloten worden bij gangbare beveiligingsstandaarden, zoals ISO/NEN 27002. Deze standaard geeft best practices en is algemeen van aard, in die zin dat het een proces voorschrijft om tot goede beveiligingsmaatregelen te komen. Andere standaarden zijn specifieker, zoals NEN 7510 (zorgsector). Voor kleinere organisaties is het niet ‘passend’ om externe partijen in te schakelen om beveiligingsstandaarden te implementeren. Externe audits brengen kunnen immers aanzienlijke kosten met zich brengen. Maar ook kleinere organisaties moeten een passend beveiligingsniveau hanteren. Zonder volledigheid na te streven, kunnen de volgende handvatten worden aangereikt: • Ga bewust om met informatiebeveiliging; zorg er bijvoorbeeld voor dat de software up-to-date is en dat patches geïnstalleerd worden. • Stel een intern beveiligingsbeleid op en zorg ervoor dat alle medewerkers dit kennen en ernaar handelen. • Denk aan geheimhouding door zowel werknemers als derde partijen; leg dit indien nodig vast in een overeenkomst. • Ontwikkel procedures met betrekking tot de omgang met incidenten en het doen van meldingen vanwege de meldplicht.
Check: controle Een organisatie kan op verschillende manieren controleren of de beveiligingsmaatregelen juist worden toegepast. Controles kunnen worden ingebouwd in de technische instrumenten of de organisatorische processen. Ook kan men denken aan periodieke beveiligingsassessments, werkplekcontroles en social engineering tests. Nieuwe of aangepaste informatiesystemen moeten natuurlijk goed getest worden voor ze in gebruik worden genomen.
Act: evalueren en aanpassen Op dit moment in de plan-do-check-act-cyclus zijn beveiligingseisen opgesteld, maatregelen getroffen en zijn controles uitgevoerd. Het is belangrijk om dat geheel aan acties periodiek te evalueren en indien nodig aan te passen. Ga bijvoorbeeld na of de vastgestelde beveiligingseisen nog aansluiten op de risico’s, of de getroffen maatregelen nog passend zijn gezien de stand van de techniek en of de gebruikte controlemethoden nog relevant zijn.
Tot slot: handhaving door toezichthouders Dat organisaties zelf moeten afwegen welk beveiligingsniveau ‘passend’ is, betekent niet dat zij volledig vrij spel hebben. Hun beveiligingsbeleid kan getoetst worden door bijvoorbeeld de ACM of het CBP (vanaf 1 januari 2016: Autoriteit Persoonsgegevens). Er dreigen fikse boetes als blijkt dat het beveiligingsniveau niet voldoet. Maar vergeet ook niet de impact die beveiligingsincidenten hebben op de goede naam van uw organisatie. Ook wanneer een passend beveiligingsniveau wordt gehanteerd, kan een beveiligingsincident niet worden uitgesloten. Het is dan zaak om aan te kunnen tonen dat uw organisatie naar redelijkheid de nodige maatregelen heeft getroffen om het incident te voorkomen. Van belang is ook wat uw organisatie heeft gedaan om het incident te bestrijden en de nadelige gevolgen te beperken.
ICTRecht - 33
CLOU DR ECH T
Privacy in de cloud: hoe regel je dat?
20 oktober 2015 door Sten Demon
Het afnemen of leveren van clouddiensten is niet zonder risico’s. Belangrijke punten om aandacht aan te besteden bij het afnemen of leveren van een clouddienst zijn: beschikbaarheid, continuïteit, privacy en beveiliging. In voorgaande blogs zijn we al kort ingegaan op beschikbaarheid en continuïteit. In deze blog zal ik ingaan op een aantal privacy-aspecten waarmee zowel afnemers als leveranciers van clouddiensten rekening dienen te houden. In een toekomstige blog zal ingegaan worden op beveiliging in de cloud.
Melding Cbp
Uiteraard is privacy van belang voor de afnemers van clouddiensten. Afnemers willen niet dat zomaar allerlei gegevens verzameld worden en ze willen al helemaal niet dat verzamelde gegevens ongevraagd met onbekende derden worden gedeeld.
Privacyverklaring
Clouddienstverleners hebben ook belang bij het goed regelen van de privacyrechtelijke aspecten van clouddiensten. Vanaf 2016 verandert het College bescherming persoonsgegevens (Cbp) in de Autoriteit Persoonsgegevens en krijgt zij de mogelijkheid om hogere boetes op te leggen wanneer de Wet bescherming persoonsgegevens (Wbp) overtreden wordt. Dergelijke boetes kunnen oplopen tot € 810.000 of 10% van de jaaromzet (binnen Nederland) van de clouddienstverlener. Genoeg redenen dus om rekening te houden met privacy, maar wat moet er nou precies geregeld worden omtrent privacy?
34 - ICTRecht
Een belangrijk punt te waaraan gedacht moet worden is het doen van een melding aan het Cbp. Wanneer een clouddienstverlener namelijk persoonsgegevens verwerkt, is zij in beginsel verplicht om hiervan melding te doen aan het Cbp. Er zijn wat uitzonderingen op deze regel. Zo hoeft alleen de verantwoordelijke in de zin van de Wbp een dergelijke melding te doen en kan de melding achterwege blijven wanneer een onderneming bijvoorbeeld enkel haar eigen personeelsadministratie verwerkt.
Wanneer een onderneming het doel en de middelen vaststelt waarmee persoonsgegevens zullen worden verwerkt, dan is zij een “verantwoordelijke” in de zin van de Wbp. Een voorbeeld hiervan is een webwinkel die de persoonsgegevens opslaat van haar klanten. Een verantwoordelijke is verplicht om de personen, van wie de gegevens verzameld worden, te informeren over de verwerking van hun persoonsgegevens. Aan de hand van de privacyverklaring kunnen personen een geïnformeerd besluit nemen om wel of niet gebruik te maken van bijvoorbeeld een webwinkel of een clouddienst.
Bewerkersovereenkomst Een ander belangrijk punt waaraan gedacht moet worden in het kader van privacy, is het sluiten van een bewerkersovereenkomst. Wanneer bijvoorbeeld een webwinkel de door haar verzamelde gegevens van klanten opslaat bij een clouddienstverlener, dan zijn partijen verplicht een bewerkersovereenkomst te sluiten. In terminologie van de Wbp is de webwinkel in het voorbeeld de “verantwoordelijke” en de clouddienstverlener de “bewerker”.
Een belangrijk onderwerp dat terugkomt in een bewerkersovereenkomst is beveiliging, dit zal in een toekomstige blog aan bod komen.
Meldplicht datalekken Vanaf 1 januari 2016 moeten ondernemingen die persoonsgegevens verwerken een melding doen aan de Autoriteit Persoonsgegevens, indien er sprake is van een inbreuk op de beveiliging. Wanneer een inbreuk op de beveiliging nadelige gevolgen kan hebben voor de persoonlijke levenssfeer van personen op wie de gegevens betrekking hebben, dan moet de voornoemde melding ook gedaan worden aan die personen. Er zijn situaties waarin dergelijke meldingen achterwege gelaten kan worden, maar daarvan zal niet vaak sprake zijn. Daarnaast is het altijd verstandig om de Autoriteit Persoonsgegevens in kennis te stellen, aangezien boetes hoog kunnen uitvallen en de meldingen niet openbaar worden gemaakt.
Privacy by design and by default. In Europa wordt er gewerkt aan een privacyverordening en het is verstandig om nu alvast rekening te houden met deze verordening. De privacyverordening stelt het zogenaamde privacy by design and by default verplicht. Dit houdt in dat ontwikkelaars van clouddiensten, gedurende het gehele ontwikkelingsproces, al rekening dienen te houden met privacy. Daarnaast moeten de ‘standaard’ instellingen van een clouddienst zo privacy vriendelijk mogelijk zijn. Bovendien moet ervoor gezorgd worden dat gebruikers een mogelijkheid hebben om hun verwerkte persoonsgegevens in te kunnen zien en te corrigeren. Elke onderneming is natuurlijk verschillend, waardoor bij het regelen van privacy maatwerk vaak nodig is.
ICTRecht - 35
Auteur: Peter Streefkerk
Recensie Handboek ICT-contracten Inkopers worstelen nog wel eens met het uitwerken van ICT-contracten. Dat is niet voor niets en de inkopers staan daarin niet alleen. Hoewel ICT-contracten juridisch gezien niet anders zijn dan andere contracten, komt er toch iets meer bij kijken. Dat heeft voornamelijk te maken met de automatisering van een deel van de ICT-dienstverlening en dat veel organisaties voor een groot deel afhankelijk zijn van software. Zoals de auteurs Arnoud Engelfriet en Steven Ras zelf al vermelden in hun Handboek ICT-contracten: de levering van foutloze software-oplossingen of 100% ongestoorde dienstverlening bestaat bijna niet. Dan kun je maar beter de beschikking hebben over een contract dat juridisch in orde is.
Noodzaak goed ICT-contract De algemene stelregel voor contracten luidt: een goed contract verdwijnt in de kast en hoeft daar niet meer uit te komen. Een goed contract biedt echter geen garantie voor een probleemloze levering. Zo blijkt uit de praktijk van alledag, want met een correcte juridische vastlegging sta je pas aan het begin van de uitvoering van een project. Het gaat geregeld fout zoals we in de media kunnen zien. Dit heeft te maken met verschillende factoren. Het belang en de noodzaak van een juist en goed uitgewerkt ICT-contract om op terug te vallen is derhalve wel duidelijk, maar hoe pak je zoiets aan?
36 - ICTRecht
Contracten afsluiten in de ICT Om te beginnen is het afsluiten van een goed ICT-contract het resultaat van een samenwerking tussen de verschillende partijen in het inkoopproces, namelijk: de ICT-afdeling, de inkoper, de jurist en last but not least de leverancier. Daarbij is het gemakkelijk als alle partijen dezelfde taal spreken en dezelfde principes hanteren. Het Handboek ICT-contracten biedt daarvoor een goede basis, want het boek begint met een uitgebreide uitleg over de principes van ICT-contracten, gevolgd door een beschrijving van de wijze waarop ICT-contracten worden afgesloten. Daarmee leggen Arnoud Engelfriet en Steven Ras het fundament voor de rest van het ‘bouwwerk’ Handboek ICT-contracten. Valkuilen bij traditionele werkwijze van een ICT-contract opstellen De traditionele inkoper, die eindverantwoordelijk is voor het opstellen van een ICT-contracten, kijkt eerst naar de contracten die hij al in zijn bezit heeft. Hij zal beoordelen of één van deze bestaande contracten in de basis geschikt is voor bewerking. Bij een positief antwoord zal hij beginnen met aanpassen.
Afhankelijk van de juridische kennis en ervaring vormt dat een uitdaging voor de meeste inkopers en vergroot dat de kans op fouten. Heeft de inkoper geen geschikt contract, dan is zijn uitdaging nog veel groter.
ICT Inkoopvoorwaarden, ARBIT, ARIV en ARVODI Al naar gelang beschikbaar zal de inkoper ook gebruik maken van specifieke ICT inkoopvoorwaarden. Als hij bij de overheid werkt, maakt hij gebruik van de Algemene Rijksvoorwaarden bij IT-overeenkomsten 2014 (ARBIT-2014), de Algemene Rijksinkoopvoorwaarden 2014 (ARIV-2014) en de Algemene Rijksvoorwaarden voor het verstrekken van opdrachten tot het verrichten van diensten 2014 (ARVODI-2014). Omdat dit in alle gevallen algemeen opgestelde contractvoorwaarden betreft, zal de inkoper vaak aanvullingen en/of wijzigingen van toepassing moeten verklaren. Geen ideale situatie, omdat een contract daardoor niet prettig leesbaar is, de verwijzingen niet altijd meer kloppen en/of onderwerpen ontbreken omdat ze over het hoofd worden gezien.
Eindoordeel Eindelijk een kwalitatief uitstekend, zeer prettig leesbaar en vooral volledig boek over het hoe en waarom van het opstellen van ICT contracten. Je leest het bij wijze van spreken in één keer uit en dat is opmerkelijk voor een juridisch boek. Niet alleen vanwege de gehanteerde schrijfstijl, maar evenzeer vanwege de ongelooflijk grote hoeveelheid praktische inhoud die de beide auteurs in het boek hebben weten te vatten. Het maakt je als ICT-inkoopprofessional bij ieder hoofdstuk nieuwsgierig om verder te lezen. Valt er dan helemaal niets aan te merken op het boek? Nee, op het boek zelf niet, maar een via password toegankelijke internetsite ter ondersteuning van Handboek ICT-contracten zou welkom zijn. Je bent als auteur van de contracten gedwongen de contractclausules over te typen met alle kans op het maken van fouten.
ICT-contracten opstellen of onderhandelen? Het Handboek ICT-contracten helpt u. Relevante clausules en contracten worden in detail behandeld.
Bouwstenen ICT-contract In de hoofdstukken 3, 4 en 5 werken de auteurs Arnoud Engelfriet en Steven Ras verder aan het bouwen van een goed ICT-contract. Dat begint in hoofdstuk 3 met een uitgebreide behandeling van uitsluitingen en overmacht. ICT is nog een jong vakgebied, waarin veel geëxperimenteerd wordt en mede daardoor is het lastig om fouten te voorkomen. In hoofdstuk 4 behandelen de auteurs daarna de meest voorkomende clausules uit ICT-contracten. Eenendertig in totaal, in heldere taal en zo kort mogelijk uitgewerkt. De clausules vormen de bouwstenen van de meest gebruikte ICT-contracten die hun plek hebben gevonden in hoofdstuk 5. Het boek wordt vervolgens afgesloten in hoofdstuk 6 met een verwijzing naar relevante literatuur en per hoofdstuk gerangschikte en relevante jurisprudentie.
Peter Streefkerk is eigenaar van Respect Inkoopconsultancy. Hij houdt zich bezig met interim management, advisering, projectmanagement, training en coaching. Hij is auteur van de boeken Inkopen voor Dummies, Inkoop en een groot aantal artikelen over inkopen. Zijn recensies verschenen eerder op www.inkopers-cafe.nl
€ 79,-
*
inclusief btw
Nu bestellen: ictrecht.nl/hbict
ICTRecht - 37
Auteur: Lisette Meij Juridisch adviseur Opleidingscoördinator
Trainingsprogramma 2015 38 - ICTRecht
ICTRecht verzorgt een scala aan juridische trainingen, zowel voor de advocatuur als voor het algemene (technische) publiek. Onze docenten zijn gespecialiseerd in zowel de juridische als de technische kant van de verschillende niches van het ICT- en internetrecht. Wilt u meer informatie over onze trainingen of u aanmelden?
ictrecht.nl/trainingen
ICT-contracten: de basis, 6 PO
Actualiteiten ICT & Recht, 3 PO
ICT-contracten: verdieping, 6 PO
Welke uitdagingen bieden ICT contracten? Leer in deze basiscursus hoe elektronisch te contracteren, welke aandachtspunten vereist zijn bij softwarelicenties, apps, hostingcontracten en privacyaspecten van overeenkomsten. Aan de hand van vele voorbeelden leert u de kennis in de praktijk te brengen. Duur: dag | Kosten: €549,- excl. btw. In combinatie met de verdiepingscursus of masterclass betaalt u in totaal €950,- excl. btw. Neemt u alle drie de trainingen af, dan betaalt u in totaal slechts €1399,- excl. btw.
Relevante rechtspraak, wetgeving en andere juridische ontwikkelingen van het afgelopen jaar, in duidelijke taal becommentarieerd door de experts van ICTRecht. Laat u bijpraten over actualiteiten in rechtspraak en wetgeving, met bijzondere aandacht voor de belangrijkste internetonderwerpen. Duur: middag | Kosten: €275,- excl. btw.
Alleen voor ervaren contractjuristen met ICT ervaring. Aan de hand van diverse ICT-contracten uit de praktijk leert u de lastigste valkuilen en aandachtspunten voor uw contractspraktijk te herkennen. Wat werkt, en wat kunt u eisen voor inkoper of leverancier? Duur: dag | Kosten: €549,- excl. btw. In combinatie met de basisscursus of masterclass betaalt u in totaal €950,- excl. btw. Neemt u alle drie de trainingen af, dan betaalt u in totaal slechts €1399,- excl. btw.
3 december
10 december
14 december
Vanaf januari staan de trainingen voor 2016 op ictrecht.nl/trainingen. Er vinden van maart t/m december 2016 weer diverse trainingen plaats, over onder meer ICT-contracten (basis, verdieping en masterclass), privacy en persoonsgegevens, cloud en security.
ICTRecht is door de Nederlandse Orde van Advocaten erkend als opleidingsinstelling. Dat geeft ons de bevoegdheid om opleidingspunten (PO) toe te kennen, die advocaten in het belang van het onderhoud van hun vakbekwaamheid dienen te behalen.
Webinars
In één uur wordt u bijgepraat over een onderwerp naar keuze. U kunt onze webinars bekijken waar en wanneer het u uitkomt! U heeft enkel een computer met internetverbinding en de mogelijkheid Flash-video’s te bekijken nodig. Voor elke webinar ontvangt u 1 PO punt. Voor ons totale aanbod zie: ictrecht.nl/webinars
ICT contracten
Uitingsvrijheid op internet
Welke uitdagingen bieden ICT contracten? Leer in een uur de principes van elektronisch contracteren. Aan de hand van vele voorbeelden bespreken we aandachtspunten bij softwarelicenties, apps, hostingcontracten en privacyaspecten van overeenkomsten.
Internet is de plek voor mensen om hun vrijheid van meningsuiting uit te oefenen. Maar internet is geen vrijplaats om maar alles te zeggen: regels rond smaad, laster en privacy gelden ook online. Aanpakken van onrechtmatige uitingen is op internet echter extra lastig: de mores op internet zijn anders, anonimiteit is lastig te doorbreken en de technologie maakt het werkelijk weghalen moeilijk. In dit webinar leert u welke juridische grenzen de uitingsvrijheid online kent, en welke eisen en verweren in de praktijk succes hebben.
Softwarebescherming Software is ongrijpbaar, maar ook juridisch is software lastig te duiden. Tot hoe ver strekt het auteursrecht op software, en is octrooi mogelijk? Wat mag er wel en niet in een softwarelicentie? In dit webinar bespreken we in duidelijke taal de eisen die de Auteurswet stelt en hoe om te gaan met softwarelicenties (EULAs). Ook open source software en softwarepatenten komen kort aan bod.
Exploiteren van softwareinnovaties Juridische bescherming voor een softwareinnovatie is mooi, maar wat heeft uw cliënt er in de praktijk aan? Software kan op vele manieren worden ingezet om inkomsten of ander voordeel mee te genereren. Wordt het een app, een webdienst of open source? Welke licentiemogelijkheden zijn er en welke kansen en risico’s bieden deze? Leer in dit webinar welke afwegingen u en uw cliënt kunnen maken om tot een succesvolle exploitatie van software-innovaties te komen.
Actualiteiten ICT & Recht Relevante rechtspraak, wetgeving en andere juridische ontwikkelingen van het afgelopen kwartaal, in duidelijke taal becommentarieerd door Arnoud Engelfriet.
De aankomende privacyverordening De huidige wetgeving met betrekking tot persoonsgegevens gaat op de schop. Met een nieuwe Europese privacywet wil men de teugels stevig aanhalen bij gebruik van persoonsgegevens. Mensen krijgen het recht te worden vergeten, toestemming vragen voor direct marketing wordt moeilijker en het opbouwen van profielen mag niet meer zomaar. In dit webinar zetten we de belangrijkste wijzigingen uiteen voor de juridische praktijk.
Sociale media juridisch bekeken Social media zijn niet meer weg te denken uit de maatschappij van vandaag. Zo’n 60% van alle Nederlanders heeft een Facebookaccount en dik 3 miljoen Nederlanders meldt wat ze aan het doen zijn op Twitter. LinkedIn, zeg maar Facebook met stropdas, telt 3,9 miljoen gebruikers. Een perfecte basis voor juridische conflicten en nieuwe rechtsvragen. In dit webinar doorlopen we de juridische achtergrond en relevante wetgeving aan de hand van vele praktijkvoorbeelden en jurisprudentie.
ICT versus arbeidsrecht ICT op de werkvloer is onmisbaar maar roept nieuwe juridische vragen op. Mag u werknemers monitoren? Welke privacyrechten gelden bij cameratoezicht? Wie mag in de mailbox van een zieke collega? En wat kunt u doen bij gescheld op collega’s op Facebook? Laat u in dit webinar informeren over de wettelijke grenzen en regels die ICT op het werk met zich meebrengen.
Het nieuwe consumentenrecht De Richtlijn Consumentenrechten verandert de Nederlandse consumentenwetgeving ingrijpend. Voor webwinkels maar ook voor andere ondernemers die met consumenten zaken doen. Informatieplichten worden uitgebreid, het herroepingsrecht wordt verlengd naar 14 dagen en optionele zaken moeten ook écht optioneel worden. In dit webinar zetten wij de belangrijkste wetswijzigingen uiteen aan de hand van praktische voorbeelden.
ICTRecht - 39
ICTRECHT
Sarphatistraat 610-612 | 1018 AV Amsterdam | +31 (0) 20 66 31 941 | ictrecht.nl
40 - ICTRecht
