Samenvatting Recht en Informatica Praktisch Informaticarecht Mr. F.A.M. van der Klaauw-Koops Mr. S.F.M. Corvers
Gemaakt door, Reinout Eppinga, Boudewijn Geerink, Marc den Hoed, Justin de Nooijer, Brian Pauw, 2003
1
H1 Het recht 1.1 gerechtvaardigde verwachtingen over gedrag Indien een verwachting, waarvan men denkt dat deze gerechtvaardigd is, niet wordt gehonoreerd, dan kan dat een reden zijn om de hulp van een derde in te roepen. Indien juridisch van aard, komt er een rechter aan te pas. De rechtsregels zoals in Nederland, zijn voornamelijk neergelegd in de verschillende wetten, maar ook in verdragen en sommige rechterlijke uitspraken. Een gewoonte kan ook onder bepaalde voorwaarden een rechtsregel opleveren. Wet: een algemene regel die wordt uitgevaardigd door overheidsinstanties die daartoe bevoegd zijn (gevormd door regering en Staten Generaal) Rechterlijke uitspraken: beslissingen, gegeven in een concreet geval. De concrete beslissingen zijn bindend voor de betrokken procespartijen. 1.2 Rechtsgebieden Publiekrecht: staatsrecht, strafrecht en bestuursrecht. Regelt relaties tussen overheid en burgers. Privaatrecht: relaties tussen burgers onderling. Vermogensrecht is dat deel dat betrekking heeft op de rechten en verplichtingen die op geld waardeerbaar zijn. 1.2.1 strafrecht Het strafrecht geeft de overheid de bevoegdheid om burgers aan te spreken op het overtreden van normen die binnen de samenleving erg belangrijk worden gevonden. De regels die bepalen hoe een strafrechtelijke procedure moet verlopen, het strafprocesrecht, zijn vastgelegd in het wetboek van strafvordering. 1.2.2 staatsrecht Over de organisatie van overheidsinstellingen. Ook de regels van de grondrechten van de burgers behoren tot het staatsrecht. 1.2.3 Bestuursrecht Bemoeienis met de onderdelen van het maatschappelijke leven. Milieu en sociale voorzieningen etc. 1.2.4 Vermogensrecht Belangrijk is de overeenkomst Æ afspraak tussen een of meerdere partijen over verplichtingen van de ene tegenover de andere partij. Komen verbintenissen uit voort. Niet alleen door overeenkomst vloeien verbintenissen voort. Ook door het maken van schade komen verbintenissen voort. Het kapotmaken van andermans eigendom, in dit geval het vernielen van een raam, is een onrechtmatige daad. 1.3 recht van de Europese unie Het Europese recht heeft zich ontwikkeld tot een eigen rechtsgebied. Het gemeenschapsrecht heeft voorrang boven daarmee strijdige bepalingen van het nationale recht van een lidstaat.
2
EU heeft naast de ER nog vijf gemeenschapsinstellingen met bepaalde bevoegdheden: • het Europese parlement • de raad van ministers • de Europese commissie • het hof van justitie • de rekenkamer Ad1 de leden worden voor een periode van vijf jaar rechtstreeks gekozen door de volkeren van de lidstaten. Zijn adviserend, controlerend en budgettair. Ad2 vertegenwoordigers van de regeringen van de lidstaat. Voorzitterschap rouleert om zes maanden. Belangrijkste wetgevende orgaan. Ook over werking van markten. Ad3 gekozen op grond van bekwaamheid. Taken: naleving van de verdragsbepalingen. Dient voorstellen in voor besluiten van de raad. Heeft een zelfstandige beslissingsbevoegdheid op bijv. Het gebied van de mededinging. Ad4 periode van zes jaar. Berecht geschillen tussen lidstaten en de commissie en tussen lidstaten onderling. Ad5 periode van zes jaar uit onafhankelijke leden uit de lidstaten. De algemene regels van de commissie noemen we verordeningen. 1.4 recht en informatie en communicatietechnologie Recht en informatica hebben verschillende deelgebieden: • informatica recht: hoe het bestaande juridische kader mogelijkheden biedt voor nieuwe wetsregels ten aanzien van de informatica (bv. Elektronische handtekeningen, elektronische handel etc.). Het kenmerkt zich dematerialisering, internationalisering, en technologische turbulentie. • Juridisch kennismanagement: Dit houdt zich bezig met de vraag of en zo ja, welke verworvenheden van de informatie- en communicatietechnologie binnen het rechtsbedrijf kunnen worden aangewend. (automatisering) • Jurimetrie: behoort het doen van onderzoek door middel van het gebruik van computertoepassingen voor het kwantificeren van juridische verschijnselen. (waarom deze uitspraak en welke factoren zijn daarop van invloed)
3
Hoofdstuk 3 E-Commerce 3.1.1 Het verwachte belang van EDI voor de EU was de reden tot het vaststellen van het TEDIS programma, het doel van dit programma is: 'het zoeken van oplossingen voor juridische problemen die de ontwikkeling van EDI zouden kunnen belemmeren.' Het interchange agreement beoogt de EDI-gebruikers een oplossing te bieden voor de verschillende juridische, technische en organisatorische obstakels. Het regelt technische en beveiligingsaspecten met betrekking tot de uitwisseling van de EDI-berichten. 3.1.2 Het belang van EDI staat of valt met de mogelijkheid om via EDI berichten uit te wisselen waaraan juridische gevolgen kunnen worden verbonden. Zijn partijen ten gevolge van de elektronische berichtenuitwisseling juridisch gebonden om de elektronisch bepaalde prestaties te leveren, omdat daar als gevolg van de computermanipulaties contractuele verplichtingen toe zijn ontstaan? De vraag naar de mogelijkheid van een 'elektronisch contract' valt uiteen in twee subvragen: 1: Gelden er geen vormvereisten voor het sluiten van overeenkomsten? 2: Kunnen we spreken van de, voor een overeenkomst rechtens vereiste, wilsovereenstemming? Ad1 Vormvereisten De eerste vraag hangt samen met de misvatting dat een contract slechts rechtsgeldig totstandkomt als er een schriftelijk, van handtekeningen voorzien, stuk is opgemaakt. Als dat zo was, dan zou er van rechtsgeldige 'elektronische' overeenkomsten geen sprake kunnen zijn. Het afsluiten van deze overeenkomsten in een elektronische vorm is een serieus probleem. VB --> blz.40 Kunnen EDI-berichten nu toch wilsverklaringen zijn? Ja, de vereiste wilsovereenstemming wordt geconstrueerd door het van tevoren maken van heldere afspraken en sluiten van overeenkomsten. EDI aspecten zijn niet in alle landen gelijk gesteld. Juridisch is het volgende van belag: 1. is een aanbod geldig, of wanneer het kan worden herzien/ingetrokken; 2. op welk moment de aanvaarding van een aanbod plaatsvindt; 3. op welke plaats de aanvaarding plaatsvindt; 4. welk recht is van toepassing op het contract. In de interchange agreement moet aandacht worden besteed aan deze aspecten. De interchange agreement moet vaststellen wanneer in de berichtenuitwisseling het aanbod en wanneer de aanvaarding plaats hebben gevonden. De conclusie dat het goed mogelijk is om via EDI contracten tot stand te brengen is gerechtvaardigd. Mits er natuurlijk adequate onderliggende contracten zijn afgesloten. 3.1.3 In een contractuele relatie is een partij aansprakelijk als hij niet naar behoren presteert, tenzij dit het gevolg is van overmacht. Een partij presteert naar behoren als hij doet wat is afgesproken en wat hij gegeven de aard van de afspraak verplicht is op grond van de wet, de
4
gebruiken binnen de branche en de redelijkheid en billijkheid. Er is sprake van overmacht als er geen sprake is van verwijtbare schuld tenzij de wet of een afspraak tussen de partijen het risico voor de tekortkoming wel toerekent. Opgemerkt moet worden dat een partij nooit aansprakelijkheid kan uitsluiten voor eigen schuld en opzet. Bij aansprakelijkheid op grond van andere in de wet genoemde gronden, kan worden gedacht aan onrechtmatige gedragingen, waardoor andere schade ondervinden. Denk aan virus verspreiding dat enorme schade aanricht of aan het onderscheppen en onbevoegd wijzigen van berichten. Er hoeft geen contractuele relatie te bestaan om schadevergoeding te kunnen vorderen. Een gebruiker die zich niet houdt aan de overeengekomen beveiligingsafspraken, kan in het geval van schade op grond van deze tekortkoming worden aangesproken om de schade te vergoeden. ' Wanneer een partij gebruik maakt van de diensten van een tussenpersoon bij het verzenden, opslaan of verwerken van EDI-berichten, dan zal deze partij tegenover de andere partij of partijen bij de overeenkomsten verantwoordelijk zijn voor alle handelingen, fouten of omissies van de tussenpersoon bij het verrichten van deze diensten alsof het zijn eigen handelingen of fouten waren.' 3.1.4 De vraag die aan de orde is, luidt dan ook: kunnen elektronische vastgelegde gegevens en elektronische identificaties bewijsrechtelijk dezelfde juridische gevolgen hebben? Het Nederlandse recht stelt geen grenzen aan de toelaatbaarheid van bewijsmateriaal. Tenzij iets anders is afgesproken, hebben EDI-berichten tussen partijen dezelfde bewijskracht als schriftelijke stukken en EDI-berichten tussen de partijen hebben dezelfde bewijskracht als een onderhandse akte indien deze berichten zijn verzonden met een digitale handtekening. Het probleem bji EDI is duidelijk. Zo het al is toegestaan gedurende meerdere jaren 'elektronisch te bewaren', dan rijst weer de vraag naar de duurzaamheid, dat wil zeggen een betrouwbare wijze van bewaren. Een mogelijkheid waarnaar in verschillende studies is gewezen, is het aantrekken van een onafhankelijk derde, om de verzonden EDI-berichten vast te leggen. Dit gebeurt bij een Trusted Third Party (TTP). 3.1.5 Elektronisch uitgewisselde berichten kunnen persoonsgegevens bevatten. In dat geval moet, indien van toepassing, worden voldaan aan de wettelijke regels met betrekking tot de bescherming van persoonsgegevens. Het verdient dan ook aanbeveling om in de interchange agreement afspraken hierover te maken. 3.1.6 Art. 81 en 82 van het EG-verdrag voorzien in bepalingen die voorkomen dat de mededinging binnen de EG wordt verstoord. Art. 82 verbiedt het misbruik maken van de machtspositie. Zo loopt een weigering om een licentie te verlenen op bepaalde voor EDI-gebruik noodzakelijke programmatuur, het risico als misbruik van machtspositie te worden gekwalificeerd. Als de compatibiliteit in het geding is, heeft de maker van een nieuw programma de bevoegdheid om de daartoe noodzakelijke gegevens te achterhalen dmv reverse engineering (zie hfst.4).
5
3.2 Er zijn drie belangrijke Europese richtlijnen die voor een groot deel het rehct bepalen dat op de b2c-relatie van toepassing zijn: 1. Richtlijn Overeenkomsten op afstand 2. Richtlijn E-Commerce 3. Richtlijn Elektronische handtekening 3.2.1 Richtlijn Overeenkomsten op afstand Deze richtlijn is slechts van toepassing op overeenkomsten tussen een professionle wederpartij en een consument. Zoals vermeld, geldt voor een groot gedeelte van de hiervoor genoemde regelgeving dat alleen een consument er een beroep op mag doen. Maar wanneer is iemand een consument? Ten eerst is de consument een natuurlijk persoon. Rechtspersonen als een NV of BV zijn uitgesloten. Daarnaast is een consument iemand die niet handelt in de uitoefening van een beroep of bedrijf. Ook de aard van de wederpartij is van belang. Indien beide partijen niet beroepsmatig handelen, is er geen sprake van consumentenkoop. Een consument die op afstand, bijvoorbeeld via het internet, een boek koopt, heeft tijdens deze aanschaf geen contact gehad met de leverancier. Hij loopt op deze manier allerlei risico’s. Ontvangt hij zijn boekje nu wel? Hoe verloopt de betaling? Om de consument een adequate bescherming te bieden bij dergelijke overeenkomsten, is er een richtlijn uitgevaardigd Æ de richtlijn overeenkomsten op afstand. De regeling is van toepassing op overeenkomsten die op afstand worden gesloten. Hiervan is sprake als tot en met het sluiten van de overeenkomst uitsluitend gebruik wordt gemaakt van technieken voor communicatie op afstand. De leverancier moet stelselmatig gebruik hebben gemaakt van middelen voor commmunicatie op afstand om de overeenkomst te sluiten. Een overeenkomst die gesloten wordt via internet, valt hieronder, maar ook een postorderovereenkomst of overeenkomst per telefoon. De overeenkomst geldt niet in de ‘offline’wereld. Informatieplicht leverancier Onderstaande informatieplichten gelden in de Richtlijn Overeenkomsten op afstand als in de Richtlijn E-Commerce. Vóór het sluiten van de overeenkomst op afstand moet de leverancier aan de consument de volgende informatie verschaffen: A identiteit B kenmerken van goed of dienst C de prijs, incl. belastingen D de leveringskosten E wijze van betaling, levering of uitvoering van overeenkomst F het wel/niet van toepassing zijn van het herroepingsrecht G kosten van het gebruik van de techniek voor communicatie op afstand, indien afwijkend van basis tarief H geldigheidsduur van aanbod of van prijs I waar passend, minimumduur van de overeenkomst Na sluiting van de overeenkomst, uiterlijk bij aflevering van het product of de dienst, moet de leverancier bepaalde informatie bevestigen. Hieronder valt: A de onder a t/m f van de hierboven genoemde informatie B vereisten waaraan voldaan moet worden voor het ontbindingsrecht
6
C bezoekadres leverancier in offline wereld D indien van toepassing: info over garanties E vereisten voor opzegging overeenkomst Herroepingsrecht Dit recht houdt in dat de consument een bedenkperiode krijgt om uit te vinden of het product of de dienst hem wel bevalt. Indien dit niet zo is, dan kan de consument het product of de dienst binnen zeven werkdagen na ontvangst retourneren en op deze manier de overeenkomst ontbinden. De consument hoeft geen reden op te geven. Het recht geldt niet voor zaken waarvan de prijs gebonden is aan schommelingen op de financiële markt. Ook overeenkomsten met betrekking tot producten die vervaardigd zijn naar specifieke eisen en wensen van de consumenten, zoals een maatpak kunnen niet ontbonden worden. Software en audio- en video-opnamen kunnen niet teruggezonden worden als de verzegeling van de verpakking verbroken is. Kranten en tijdschriften kunnen niet teruggezonden worden. Richtlijn verkoop op afstand van financiële diensten Deze richtlijn is van toepassing tussen een leverancier en consument. Onder financiële diensten vallen: bancaire, verzekerings-, investerings- en betaal- diensten. De aanbieder moet aan de onderstaande informatieverplichtingen voldoen: 1. identiteit en adres van aanbieder in het land waar consument woont 2. informatie over de prijs als deze kan schommelen 3. het bestaan, duur, voorwaarden en regelingen m.b.t. herroepingsrecht 4. informatie over betalingen indien met wel/niet gebruik maakt van herroepingsrecht 5. inlichtingen inzake de opzegging van de overeenkomsten 6. het voor de overeenkomst geldende recht 7. bevoegde rechtbanken bij een geschil 8. inlichtingen omtrent de bevoegde toezichthoudende autoriteit, als de leverancier hier aan gebonden is 9. buitegerechtelijke klachten – en beroepsprocedures Evenals bij de Richtlijn Overeenkomsten op afstand moet deze informatie schriftelijk of op een voor de consument toegankelijke en duurzame drager overgedragen worden. Partijen moeten hierover zelf een afspraak maken. Ook de consument die een financiële dienst afneemt, heeft het recht op een bedenkperiode. 3.2.2 Richtlijn E-Commerce Een van de belangrijkste onderdelen van E-commerce is het via internet kunnen bestellen van producten en diensten. Het doel van de Richtlijn E-commerce is het wegnemen van belemmeringen waardoor het vrije verkeer van online-dienstverlening gerealiseerd kan worden. In tegenstelling tot de Richtlijn Overeenkomsten op afstand en de Richtlijn Overeenkomst op afstand tot het verrichten van financiële diensten, is de Richtlijn Ecommerce van toepassing op alle overeenkomsten die diensten van de informatiemaatschappij betreffen, ongeacht of daarbij een consument betrokken is. Informatieplicht aanbieder De aanbieder moet de volgende algemene informatie verstrekken: 1. naam van de aanbieder 2. geografisch adres aanbieder 3. gegevens die snel contact mogelijk maken: e-mail adres
7
4. 5. 6. 7.
inschrijfnummer in het handelsregister, indien van toepassing beroepsvereniging, indien van toepassing btw-nummer van de aanbieder duidelijke en ondubbelzinnige vermelding van de prijzen
Vereist is dat deze informatie gemakkelijk, rechtstreeks en permanent toegankelijk is. De aanbieder kan aan deze eis gemakkelijk voldoen door de informatie op zijn website te plaatsen. Commerciële communicatie Volgens de definitie van de Richtlijn E-commerce moet onder commerciële communicatie worden verstaan: alle vormen van communicatie die zijn bestemd voor de rechtstreekse of niet-rechtstreekse verkoopbevordering van goederen of diensten, dan wel voor de bevordering van het imago van een onderneming, organisatie of persoon die een activiteit op commercieel, industrieel of ambachtelijk vlak of een vrij beroep uitoefent. Lidstaten moeten in hun nationale wetgeving bepalen dat: 1. commerciële communicatie duidelijk en ondubbelzinnig herkenbaar moet zijn. 2. de natuurlijke persoon / rechtspersoon voor wiens rekening commerciële 3communicatie plaatsvindt, moet duidelijk herkenbaar zijn. 3. aanbiedingen, premies, kortingen en geschenken moeten zijn toegestaan Zelfregulering Hieronder verstaat men dat marktpartijen zichzelf omgangsnormen opleggen. Een van de belangrijkste nationale initiatieven op het gebied van zelfregulering is de Model Code of Conduct van het Electronic Commerce Platform (ECP.nl) Deze Model Code geeft een aantal bepalingen die zijn opgebouwd rond drie centrale begrippen: 1. betrouwbaarheid 2. transparantie 3. vertrouwelijkheid en privacy De eerste functie van het begrip handtekening is identificatie van de ondertekenaar. Ten tweede kan door middel van een handtekening duidelijk worden gemaakt of de ondertekenaar bevoegd was tot ondertekening. 3.2.3 Richtlijn Elektronische handtekening Het doel van deze richtlijn is het gebruik van elektronische handtekeningen te vergemakkelijken en bij te dragen aan de wettelijke erkenning van de elektronische handtekening. Encryptie Bij de biometrische handtekening wordt gebruik gemaakt van een uniek persoonsgebonden karakteristiek van de ondertekenaar. Er kunnen twee typen biometrische persoonskenmerken onderscheiden worden: fysieke kenmerken en gedragskenmerken. Bij fysieke kenmerken gaat het om bijvoorbeeld een vingerafdruk of de scan van de iris van een oog. Bij gedragskenmerken gaat het om technieken als het herkennen van een stem. Een geschreven handtekening kan door middel van een scan worden omgezet in een zogenoemd digital image. Momenteel is uncryptie de meest gebruikte techniek voor elektronische handtekening. Bij symmetrische encryptie wordt één sleutel gebruikt voor zowel de encryptie als de decryptie. Deze sleutel is bij beide partijen bekend. Voor asymmetrische encryptie gebruiken de verzender en de ontvanger daarentegen ieder een verschillende sleutel, die onverbrekelijk bij elkaar horen
8
Asymmetrische encryptie kan ook worden gebruikt voor het toevoegen van een digitale handtekening aan elektronisch document. Hiertoe moet eerst de hashwaarde van het elektronisch document berekend worden. De hashwaarde van een document is een uniek controlegetal dat wordt verkregen door alle nullen en enen waaruit de digitale tekst bestaat bij elkaar op te tellen. Na elke verandering in het document zal er een andere hashwaarde ontstaan. De verzender versleutelt de hashwaarde met zijn privé-sleutel, waarna deze samen met de versleutelde verklaring naar de ontvanger wordt verstuurd. De ontvanger kan met de publieke sleutel het bericht ontsleutelen, waardoor de hashwaarde opnieuw wordt berekend. Als deze hashwaardes overeenstemmen, kan met zekerheid worden gesteld dat het bericht tijdens de verzending niet gewijzigd is. De integriteit, vertrouwelijkheid en identiteit van partijen is nu vastgesteld. Kenmerken elektronische handtekening De richtlijn maakt echter een verschil tussen deze ‘gewone’ elektronische handtekening en geavanceerde elektronische handtekeningen. Onder een geavanceerde elektronische handtekening wordt verstaan een elektronische handtekening die voldoet aan de volgende eisen: - De handtekening is op unieke wijze aan de ondertekenaar verbonden. - De handtekening maakt het mogelijk de ondertekenaar te identificeren. - De handtekening komt tot stand met middelen die de ondertekenaar uit zijn uitsluitende controle kan houden. - De handtekening is op zodanige wijze aan de gegevens waarop zij betrekking heeft verbonden, dat elke wijziging van de gegevens achteraf kan worden gespoord. Als een geavanceerde elektronische handtekening is gebaseerd op een gekwalificeerd certificaat en is aangemaakt met een veilig middel, worden door de richtlijn twee belangrijke rechtsgevolgen aan deze geavanceerde elektronische handtekening toegekend: - Deze handtekening voldoet aan alle wettelijke vereisten, zoals die voor een handtekening gelden voor gegevens op papier. - De handtekening moet als bewijsmiddel in gerechtelijke procedures worden toegelaten. ‘gewone’ elektronische handtekening is in de richtlijn bepaald dat deze geen rechtsgeldigheid heeft. - De handtekening in elektronische vorm is gesteld; - De handtekening niet is gebaseerd op een gekwalificeerd certificaat; - De handtekening niet is gebaseerd op een door een geaccrediteerd certificatiedienstverlener afgegeven certificaat; - De handtekening niet met een veilig middel is aangemaakt. Gekwalificeerd certificaat en veilig middel De geavanceerde elektronische handtekening moet gebaseerd zijn op een gekwalificeerd certificaat en zijn aangemaakt met een veilig middel. Een certificaat is een ondertekende, elektronische verklaring van een onafhankelijk derde, een certificatiedienstverlener. Trusted Third Party Trusted Third Party (TTP). Een TTP kan het beste omschreven worden als een vertrouwde, neutrale tussenpersoon die diensten aanbiedt om de betrouwbaarheid van elektronische gegevensuitwisseling te vergroten. Onder betrouwbaarheid wordt verstaan het zeker stellen van de:
9
-
Authenticiteit van gegevens (zekerheid over de identiteit van de afzender en de oorsprong van het bericht) - Integriteit (zekerheid over de volledigheid om juistheid van het bericht); - Vertrouwelijkheid (zekerheid dat gegevens niet zijn ingezien door onbevoegde personen). In Nederland geldt de vrije bewijsleer. Dit houdt in dat bewijs geleverd kan worden door alle middelen, tenzij door de wet anders wordt bepaalt. Een TTP kan meerdere diensten verrichten. De belangrijkste diensten zijn: - Sleutelbeheer: het aanmaken, distribueren en administreren van cryptografische sleutels. - Certificeren: een TTP kan een certificaat uitgeven, waardoor de binding tussen een publieke sleutel en de eigenaar van een privé gegarandeerd is. - Bewijs en bewaring: het is belangrijk om vast te kunnen stellen dat een document tijdens de verzending niet gewijzigd is. Het document kan bijvoorbeeld worden voorzien van tijdstempels (time-stamping), zodat vast komt te staan op welk tijdstip een bepaalde rechtshandeling heeft plaatsgevonden. - Date recovery: wat gebeurt er indien een persoon zijn sleutel kwijtraakt, waardoor gegevens niet meer ontsleuteld kunnen worden? Een TTP kan zorgen dat de gegevens toegankelijk blijven. Deze TTP diensten kunnen op verschillende manieren worden aangeboden: - On line: de TTP tijd stempelt de berichten ‘online’; - Off line: de TTP kent een certificaat toe aan een publieke sleutel op een zelfgekozen moment; - In line: de TTP zit tussen de aangesloten partijen in en de partijen communiceren alleen via de TTP om zo de authenticiteit te waarborgen; - No line: de TTP beheert een privé-sleutel die bijvoorbeeld per post is aangeleverd. In het wetsvoorstel spreekt men niet van TTP’s, maar van certificatiedienstverleners. Dit zijn natuurlijke personen of rechtspersonen die certificaten afgeven of andere diensten in verband met elektronische handtekeningen verlenen. Hierbij kan onder meer worden gedacht aan aanbieders, zoals banken, IT-dienstverleners, postbedrijven, notarissen en telecommunicatiedienstverleners. Een certificaat wordt in het wetsvoorstel als volgt gedefinieerd: een elektronische bevestiging die gegevens voor het verifiëren van een handtekening aan een bepaalde persoon verbindt en de identiteit van die persoon bevestigt. Het wetsvoorstel bevat tevens een regeling over de aansprakelijkheid van certificatiedienstverleners die gekwalificeerde certificaten afgeven aan het publiek. Als hoofdregel geldt dat de dienstverlener aansprakelijk is voor schade die partijen ondervinden doordat zei in redelijkheid op dit certificaat vertrouwen, tenzij de certificatiedienstverlener kan bewijzen dat hij niet nalatig heeft gehandeld.
10
H4 Intellectuele eigendomsrechten en ICT 4.1 Auteursrecht De verkrijging van auteursrechten is een ongecompliceerde en goedkope aangelegenheid. De explosieve groei van de ICT heeft ertoe geleid dat de mogelijkheden van het auteursrecht nog worden onderzocht en getoetst op hun bruikbaarheid. Maar blijkt dat met ICT de toetsbaarheid moeilijk is. Denk daarbij aan het moeizame proces van de auteursrechtelijke bescherming van computerprogramma’s. Het Nederlandse auteursrecht biedt aan de maker van een werk de uitsluitende beslissingsbevoegdheid over het openbaar maken en verveelvoudiging van zijn werk. 4.1.1 Het werk De auteurswet geeft een lijst van werken, die hiervoor in aanmerking komen. Daarbij hoeft een werk niet in de lijst voor te komen om toch beschermd te kunnen worden: en in het algemeen ieder voortbrengsel op het gebied van letterkunde, wetenschap of kunst, op welke wijze of in welken vorm het ook tot uitdrukking zij gebracht. Eerst dacht men bij een programma aan boeken etc. Bestaat uit de vorm (het goed) waarin de ideeën tot uitdrukking zijn gebracht. 4.1.2 Eis van originaliteit Voor het tot stand komen van het auteursrecht zijn geen formaliteiten vereist. Wel dat het werk origineel is of de eis van oorspronkelijkheid. Feitelijke gegevens worden niet beschermd. Het gaat er om dat de maker keuzen heeft moeten maken tijdens het vervaardigen van het werk. Toch beschermt het recht ook geschriften die niet voldoen aan de vereiste oorspronkelijkheid (onpersoonlijke geschriften). Deze dienen echter wel openbaar te zijn gemaakt. (telefoonboeken). 4.1.3 ontstaan en duur Auteursrechten ontstaan op het moment van creatie en zijn tot zeventig jaar na het overlijden van de maker geldend. 4.1.4 De Maker Auteursrecht behoort aan: • De maker • Bij twee of meer afzonderlijke werken met meerdere auteurs, ieder zijn eigen deel • In het geval van een werknemer is het van de werkgever • Naar ontwerp van iemand en onder diens leiding en toezicht dan aan hem. Er kan door middel van contracten en afspraken van afgeweken worden. 4.1.5 Exploitatie rechten Auteursrechten houden in dat je mag verveelvoudigen en opbaar maken: exploitatierechten. Verveelvoudigen Verveelvoudigen is aan de maker en moet om toestemming worden gevraagd indien je dit wilt doen. Uitzondering hierop is als het voor eigen gebruik is, echter maar wel een gedeelte. Dit is een frictie met programmatuur, als je een stukje kopieert doet het programma het niet meer. Daarom geldt programmatuur niet meer als geschrift. 11
Gebruik van een programma kan echter gezien worden als verveelvoudiging omdat je het laadt in je interne geheugen. Openbaar maken Bij openbaarmaking geldt dat als een bepaald exemplaar van een werk eenmaal rechtsgeldig in het verkeer is gebracht, dan heeft de auteursrechthebbende geen zeggenschap meer over verdere openbaarmaking van dat exemplaar (uitgeput). Dus je kunt het doorverkopen of weggeven. 4.1.6 Persoonlijkheidsrechten Deze rechten beschermen de integriteit van de maker en zijn werk (recht om je te verzetten tegen verminking en aantasting van het werk en het recht op naamsvermelding). 4.1.7 Overdracht van auteursrechten en gebruiksrechten Kan gedeeltelijk of helemaal. Dit betreft echter de exploitatierechten, niet de persoonlijkheidsrechten. Kan men wel bij overeenkomst afstand doen. Licenties verlenen gebruiksrechten, en deze zijn persoonlijk. Dus de auteur kan zeggen: met jou deze regeling, met jou weer deze. 4.1.8 de drager en het werk Er moet onderscheid worden gemaakt tussen de rechten op de drager en de rechten die bestaan met betrekking tot het computerprogramma. Met betrekking tot het programma dat op bijvoorbeeld een diskette is vastgelegd, gelden de regels van het auteursrecht. 4.2 Computerprogramma’s In het burgerlijk wetboek komt programmatuur niet voor. Wel zaken en vermogensrechten. Alles waarop programmatuur is vastgelegd is een zaak, behalve de programmatuur zelf (=informatie). In het geval van een chip zijn ze onvermakelijk met elkaar verbonden. Voor de juridische bescherming wordt er gezocht naar mogelijkheden van de rechten op de voortbrengselen van de menselijke geest. 4.2.1 De noodzaak van bescherming Ontwikkeling van de software is duur, terwijl het kopiëren zo gedaan is. Daarom verlangen ontwikkelaars ook juridische bescherming. Een mogelijkheid is het sluiten van een overeenkomst, waarin afspraken worden gemaakt als maar op een paar machines met het programma werken, niet kopiëren en geheimhoudingsplicht. Nadeel is dat de afspraken in beginsel slechts gelden tussen de partijen die ze hebben gemaakt. Leveranciers hebben echter behoefte aan een bescherming die zijn tegen iedereen kunnen inroepen (absolute juridische bescherming). 4.2.2 Juridische bescherming van computerprogramma’s Er is geen sui generis ontstaan voor software (aparte wetgeving). Er is teruggevallen op bescherming zoals auteursrecht en octrooirecht. Heeft als voordeel: weinig verandering, en als nadeel: bestaande bepalingen zijn niet toegesneden op programmatuur. 4.2.3 Het octrooirecht het octrooi geeft de uitvinder van een voortbrengsels of werkwijze patent. Dit betekent dat je het voortbrengsel mag vervaardigen, gebruiken en verspreiden.
12
Vereisten Het verkrijgen van octrooi vereist formaliteiten. Door de volgende eisen voor het verkrijgen van octrooirecht is het toepassen op software verre van vanzelfsprekend: • Het moet nieuw zijn, dus geen deel uitmaken van de stand der techniek • Uitvindinghoogte bezitten, dus niet voor de hand liggen van de stand der techniek. • Strekking tot verkrijging van enige uitkomst op het gebied van de nijverheid. Octrooirecht en computerprogramma’s Doordat programmatuur een reeks van instructies is, lijkt het onstoffelijke informatie. Net zoals formules, theorieën etc. Daarom onder bepaalde voorwaarden is het wel mogelijk. • Moet echt nieuw zijn • Uitvindinghoogte hebben, voor een deskundige gezien de stand der techniek niet voor de hand liggen • Moet industrieel kunnen worden toegepast. 4.2.4 Computerprogramma’s en het auteursrecht Auteursrecht lijkt het makkelijkst want dit is internationaal aanvaard. Echter was dit nog niet expliciet vastgelegd in de Auteurswet. Daarom werd er een Europese Richtlijn opgesteld (mei 1991). 4.2.5 Naar een EG-Richtlijn Rechtsbescherming programmatuur Is heftig over gediscussieerd, maar iedereen was het er mee eens dat het meest geschikte juridische instrument het auteursrecht was. Wel was het moeilijk te beslissen wat de inhoud was van de exclusieve rechten tot verveelvoudigen en openbaar maken met betrekking tot software. Ideeën worden in grondbeginsel niet beschermd, maar bij software komt het achterliggende idee duidelijk naar voren in de broncode. Daarom is het dus een impliciete bescherming. Maar dit zou leiden tot ongewenste monopolievorming. Reverse enigineering: technieken om van objectcode de broncode te voorschijn halen; echter dit reduceert de bescherming tot nul en daarom mag dit niet. 4.2.6 Richtlijn Rechtsbescherming programmatuur Dit houdt in dat alles via het auteursrecht gaat en dat de auteurswetten van de lidstaten een aantal computerprogrammatuur-specifieke bepalingen in hun nationale wet moeten opnemen. • •
Computerprogramma’s: in welke vorm dan ook en tevens het voorbereidende materiaal wat tot een programma kan uitmonden. Het dient origineel of oorspronkelijk te zijn; daardoor menen velen software niet als onpersoonlijk geschrift te kunnen beschermen.
Verveelvoudigen en bewerken Daar moet toestemming voor gevraagd worden bij de maker. Dit geldt ook voor de verveelvoudigingshandelingen die nodig zijn voor het laden, in beeld brengen etc. Echter bestaan er uitzonderingen: • Als het programma rechtsgeldig is verkregen, mag je reproduceren om het programma te kunnen gebruiken voor het beoogde doel (laden/ in beeld brengen) • Noodzakelijke back-up kopie is toegestaan • Broncode mag veranderd worden met als doel dat het nieuwe programma aansluit bij het oude (compatibel is).
13
Verspreiden Het recht van verspreiden houdt in dat de maker op verspreiding van het programma controle kan uitoefenen, behalve als het programma rechtsgeldig in het verkeer is gebracht in de gemeenschap (met als uitzondering verhuur van de software). Computerprogramma’s behoren niet tot de categorie geschriften. 4.2.8 Overdracht van auteursrechten op programma’s Voor de overdracht van software gelden dezelfde als op andere werken. Er moet worden voldaan aan het vereiste van een schriftelijke akte. Veel geld haalt daar niets voor uit, gaat om de schriftelijke vastlegging. Daarom worden in de praktijk veelal bepalingen vastgelegd in een contract, die afspraken inhouden over de rechten op de programmatuur. 4.2.9 Programmatuurlicentie Om het toegestane gebruik van programmatuur door anderen dan de auteursrechthebbende te regelen, spreken partijen een overeenkomst(licentie) af, vaak tegen betaling(royalty’s).Tussen software en klant wordt zo’n licentie softwarelicentieovereenkomst genoemd. De algemene Fenit voorwaarden worden op blz. 75 aangehaald. 4.2.10 Onduidelijkheden in de richtlijnbepalingen Een aantal onduidelijkheden in de richtlijnbepalingen zoals: • Wat is noodzakelijk voor het gebruik voor het beoogde doel? • Hoeveel reservekopieen zijn voor dat gebruik noodzakelijk? • Wat zijn fouten? • Wanneer zijn de gegevens niet eerder snel en gemakkelijk beschikbaar? Daarom moeten alle afspraken duidelijk gemaakt en vastgelegd worden. 4.2.11 De Shrink Wrap licentie Doordat er geen contact is tussen producent en koper, wordt de shrink wrap licentie gebruikt (door openscheuren van de verpakking gaat de koper met de licentie akkoord, dat eenzijdig onder de folie zitten). Kleven gevolgen aan: • Op het moment van aankoop moet duidelijk zijn wat je voor je geld ontvangt. • Je bent pas gebonden als je de inhoud van de overeenkomst tevoren redelijkerwijs had kunnen kennen. 4.2.12 De escrow-clausule Omdat er wantrouwen bestaat tegenover de klant worden zelfs niet onder strikte voorwaarden van geheimhouding broncode en documentatie voor het geval nodig mocht zijn. Daarnaast staat de klant een beetje machteloos tegenover faillissementen. Daarom worden de broncode en documentatie bij een onafhankelijke derde ondergebracht. 4.3 Databanken Een databank bevat een verzameling informatie die op een bepaalde wijze is geselecteerd en gerangschikt. Selectie en rangschikking daarin kan beschermd worden. Worden op blz. 78 en 79 voorbeelden hiervan gegeven. Lees door. Draait allemaal of de verzameling aan de eis van oorspronkelijkheid voldoet.
14
4.3.1 Europese Databankrichtlijn In deze nieuwe richtlijn (1996) wordt uitgegaan dat elektronische databanken dezelfde auteursrechtelijke bescherming dienen te hebben als een oorspronkelijke databank (verzamelwerk). In de Nederlandse Auteurswet zijn drie dingen overgenomen: Definitie van ‘databank’ Een verzameling van werken, gegevens of andere zelfstandige elementen, systematisch of methodisch geordend, en afzonderlijk met elektronische middelen of anderszins toegankelijk. Waarbij de inhoud van de databank van diverse aard kan zijn. Auteursrechtelijke bescherming van de databank Er dient een bescherming te zijn indien de databank oorspronkelijk is. Dit is het geval als door de keuze of de rangschikking van de stof een eigen intellectuele schepping van de maker is gemaakt. De rechthebbende bezit over absolute rechten mits er met de rechtmatige gebruiker contracten zijn gesloten, anders geld hetzelfde als voor al het andere: kopieën voor eigen gebruik, etc. Sui-generis bescherming Dit recht verleent de fabrikant de mogelijkheid om de opvraging en/of het hergebruik van het geheel of een in kwalitatief of kwantitatief opzicht substantieel deel van de inhoud te verbieden. 4.4 Internet Gaat er om dat alle informatie (kranten boeken tijdschriften telefoongesprekken etc.) gedigitaliseerd worden. Een explosieve groei van de informatiemaatschappij dreigt de traditionele verhoudingen met betrekking tot informatie onder druk te zetten. Het internet is internationaal en daarom doemen er problemen op in relatie tot het auteursrecht. Los van de definitie van databank zijn begrippen als verveelvoudigen, openbaar maken etc. onduidelijk. Controle daarop lijkt ondoenlijk. De beschermingsbalans raakt daardoor uit evenwicht. Om een nieuwe wetgeving te creëren is nog niet duidelijk welke juridische instrumenten aan te wenden. Het zal wel in de trant zijn van de volgende paragrafen: 4.4.1 Exploitatierechten en Internet Openbaarmaking is voorbehouden aan de maker van een werk, en is bijv. een boek eenmaal in het verkeer gebracht dan is het openbaarmakingrecht van de maker op dat exemplaar uitgeput. Uitputting speelt geen rol meer bij elektronische verzending van informatie. Er kan ook niet meer worden gesproken van bepaalde exemplaren. Verveelvoudiging kan voor eigen studie en/of oefening of gebruik. Voor boeken mag dit maar met een gedeelte. Voor schriften en kranten het hele stuk. Wat is op het Internet nog een boek en wat een tijdschriftbijdrage? Is daar een criterium voor? Versturen en vastleggen op eigen geheugen op een bulletinboard of een server zijn vormen van verveelvoudigen. Is dit nog te vangen in een auteursrechtelijk evenwichtige regeling? 4.4.2 Overige auteursrechtelijke problemen Stel dat het allemaal lukt, hoe kan het dan allemaal gehandhaafd worden? Het levert een geweldige complexiteit van controleren en toestemming vragen en wat nog meer. Persoonlijkheidsrechten komen ook in het gedrang, wijzigingen zijn zo toegebracht. Daarnaast ken het Internet geen grenzen en gelden er overal verschillende wetten. (blz. 85 is
15
een opsomming van de verschillende richtlijnen die zijn afgesproken in het Europese parlement in 2001, lees zelf door). 4.5 Domeinnamen Uitgangspunt is dat de domeinnaam door de website houder zelf kan worden vastgesteld. “.nl” domeinen moeten worden geregistreerd bij de Stichting Internet Domeinregistratie Nederland (SIDN). Of een naam een intellectueel eigendomsrecht(dus absoluut) is, is nog veel getouwtrek over. Wel geldt voor domeinnamen het handelsnaamrecht en het merkenrecht.
16
H5 Contracten over ICT Dit hoofdstuk gaat over het sluiten van overeenkomsten over ICT en de juridische aspecten die daarmee te maken hebben.
5.1 Overeenkomsten Twee partijen sluiten een overeenkomst als zij tegenover elkaar beloven bepaalde prestaties te verrichten, en dit ook daadwerkelijk willen (wilsovereenstemming). Dit hoeft niet per se schriftelijk te gebeuren, maar is wel wenselijk i.v.m. juridische zekerheid. De meeste overeenkomsten zijn wederkerig, wat wil zeggen dat beide partijen er zowel rechten als plichten aan ontlenen.
5.2 Bijzondere overeenkomsten Op grond van contractvrijheid mag in principe iedereen met elkaar overeenkomsten sluiten betreffende van alles en nog wat. Sommige veel voorkomende overeenkomsten zijn neergelegd in de wet, namelijk de zogenaamde bijzondere overeenkomsten: arbeidsovereenkomst, koop, huur, etc. Dit gebeurt om ervoor te zorgen dat de onderlinge verhoudingen tussen partijen in beginsel gelijk zijn bij het aangaan van de overeenkomst.
5.3 Dwingend en aanvullend (regelend) recht Er zijn regels van dwingend recht, waarvan ook bij het sluiten van een overeenkomst niet mag worden afgeweken. Deze regels hebben vaak betrekking op de openbare orde en goede zeden; worden deze overtreden dan is de afspraak nietig. Naast dwingend recht is er aanvullend (ook wel regelend) recht, welke gelden in gevallen dat een bepaalde zich voordoende situatie niet is opgenomen in het contract. Van deze regels mag wel worden afgeweken bij opstelling van een contract. Verhoudingen tussen burgers onderling zijn veelal regelend recht, behalve in de gevallen waar de overheid de burger tegen zichzelf wil beschermen, bijvoorbeeld minderjarigen of consumenten.
5.3.1 ´Koop´ van programmatuur? Omdat ICT een zodanig specifiek karakter heeft, kunnen de juridische aspecten en gevolgen op vele manieren geïnterpreteerd en uitgelegd worden; er heerst dus onduidelijkheid en onzekerheid. Bijvoorbeeld, is de aanschaf van programmatuur ´koop´? In het geval van programmatuur kunnen namelijk situaties optreden die specifiek zijn voor software, zoals bugs, virussen, etc. Als er zich dergelijke gevallen voordoen, moet worden gekeken naar de rechten en plichten van koper en verkoper, zoals die zijn neergelegd in een aantal artikelen in het BW. Er wordt onderscheid gemaakt tussen het kopen van stoffelijke zaken en vermogensrechten. Software is niet stoffelijk en dus geen zaak, de drager (CD, floppy) wel. De auteursrechten of gebruiksrechten van software vallen onder vermogensrecht. Bij aankoop van programmatuur koopt men dus als het ware een zaak (de drager) en een vermogensrecht (gebruiksrecht van de software).
5.3.2 Consumentenkoop Consumentenkoop is wanneer een natuurlijk persoon (koper) iets koopt van een persoon die handelt namens een bedrijf (verkoper). Het belang van het fenomeen consumentenkoop is dat er in dergelijke situaties niet ten nadele van de koper mag worden afgeweken van dwingende rechtsregels, terwijl in gevallen van (niet-consumenten)koop deze regels meestal als regelend recht gelden.
17
5.3.3 Conformiteit De eis van conformiteit is één van de belangrijkste verplichtingen waaraan de verkoper moet voldoen: de afgeleverde zaak moet overeenkomen met datgene wat in de overeenkomst was afgesproken, dus conform de in de overeenkomst vastgelegde specificaties. Voldoet het geleverde niet aan de specificaties, dan heeft de koper bijvoorbeeld recht op aflevering van het ontbrekende, herstel, of vervanging.
5.4 ICT-contracten ICT-specifieke problemen moeten in contracten indien nodig nauwkeurig worden beschreven, om zich voordoende problemen het hoofd te bieden. Bij ICT-overeenkomsten is er vaak sprake van (onbedoelde) ongelijkheid tussen partijen, omdat de koper een leek is vergeleken bij de verkopende automatiseringsinstantie. De klant kan zekerheid inbouwen door extra clausules (service, garantie) in het contract te laten opnemen, maar dat kan de kosten flink laten oplopen. Er zijn diverse standaardcontracten en algemene voorwaarden beschikbaar voor ICT-zaken, maar geen ervan geldt als branchestandaard (dus iedere organisatie heeft nog steeds zijn eigen contract).
5.4.1 Vaak voorkomende ICT-contracten Voorbeelden van vaak voorkomende ICT-contracten zijn automatiseringscontracten, hardwarecontracten (koop, huur, onderhoud), softwarecontracten (licentieovereenkomst, ontwikkelingsovereenkomst), turn-key (compleet werkend systeem afleveren), onderhoud en garantie, etc. Vaak is in deze contracten ook een geheimhoudingsclausule opgenomen, vanwege de soms gevoelige aard van data (salarissen, passwords, etc.).
5.4.2 Juridische aandachtspunten bij automatiseringscontracten Veel problemen die zich voordoen bij het automatiseren van bedrijfsprocessen hebben te maken met het (tijdelijk) niet functioneren van de software, waardoor de voortgang wordt belemmerd. Het is aan te raden daarom een servicecontract af te sluiten. Andere problemen doen zich voor indien de klant slechts gebruiksrechten van een bepaald softwarepakket heeft gekocht, en niet de auteursrechten. Er moet in deze gevallen geregeld worden wie de bevoegdheid heeft de programmatuur te wijzigen, onderhouden, en hoeveel exemplaren tegelijkertijd werkzaam mogen zijn. Ook doen er zich regelmatig problemen voor die betrekking hebben op de vraag wie aansprakelijk is voor schade die ontstaan wanneer de programmatuur niet werkt zoals gewenst. Een gedetailleerde technische specificatie (en eventueel ontwikkelingstermijn, etc.) opnemen in de overeenkomst zou in dit soort situaties uitkomst moeten bieden.
5.5 Algemene voorwaarden Algemene voorwaarden zijn standaard schriftelijke bedingen van een onderneming die in meerdere overeenkomsten kunnen worden opgenomen. Hierover kan dan niet worden onderhandeld. Bedingen die behoren tot de kern van de prestaties waarover de overeenkomst wordt gesloten, zoals de prijs, kunnen niet in de algemene voorwaarden staan. Het gebruik van algemene voorwaarden bespaart tijd en kosten; ze zijn immers een standaard, die dus niet per overeenkomst hoeft worden herzien. Een nadeel is dat ze eenzijdig worden opgesteld door de betreffende partij, waardoor de balans tussen partijen wordt verstoord. De wederpartij verdient dan ook bescherming tegen onredelijke bedingen in de algemene voorwaarden.
18
Bij het sluiten van de overeenkomst moet de wederpartij de mogelijkheid hebben gehad de algemene voorwaarden te hebben ingezien, hij hoeft ze echter niet te kennen. Is dit niet het geval, dan is de overeenkomst vernietigbaar. Wanneer zowel klant als leverancier deels dezelfde algemene voorwaarden hanteren, is in het BW neergelegd dat de voorwaarden van de leverancier voorrang hebben, of de klant moet expliciet hebben aangegeven deze voorwaarden van de hand te wijzen.
5.5.1 Zwarte en grijze lijst In het BW is neergelegd dat een beding uit de algemene voorwaarden vernietigbaar is, indien dit onredelijk bezwarend is voor de wederpartij. Wanneer een beding onredelijk bezwarend is hangt af van de omstandigheden waaronder de overeenkomst is gesloten. Er is echter een zogenaamde zwarte lijst, waarop een aantal bedingen staan die in ieder geval onredelijk bezwarend zijn (mits de wederpartij een natuurlijk persoon is die niet handelt in naam van een beroep of bedrijf). Daarnaast worden op de grijze lijst een aantal bedingen genoemd waarvan wordt vermoed dat zij onredelijk bezwarend zijn voor de consument. De verwachting bestaat dat deze lijsten ook invloed zullen hebben indien de wederpartij geen natuurlijk persoon betreft, de zogenaamde reflexwerking). Deze lijsten zijn er om de consumenten wettelijke bescherming te bieden tegenover grote instanties. Beide vernietigingsgronden kunnen echter niet worden ingeroepen door grote instanties, omdat de wetgever ervan uitgaat dat deze geen speciale wettelijke bescherming nodig hebben. Zij kunnen zich slechts beroepen op de algemene redelijkheid en billijkheid.
5.5.2 Exoneratieclausule Een aansprakelijkheidsbeperkend of –uitsluitend beding noemt men een exoneratieclausule. Deze komen vrijwel in alle algemene voorwaarden voor, maar staat ook op de grijze lijst. Dat wil zeggen dat in iedere specifieke situatie waarin de consument schade heeft geleden en de leverancier deze niet wil vergoeden omdat hij zich in de exoneratieclausule vrijwaart van elke aansprakelijkheid, wordt gekeken naar de omstandigheden en aan de hand daarvan wordt besloten of de clausule onredelijk bezwarend (en dus vernietigbaar) is.
5.5.3 Algemene voorwaarden Zorgpasgroep De 2001 algemene voorwaarden van de Zorgpasgroep zijn als bijlage opgenomen in het boek. Hierin is te zien dat eerst een definitielijst is opgenomen om begrippen te verduidelijken. Daarnaast is ook een exoneratieclausule opgenomen en belangrijke bepalingen over eigendomsvoorbehoud, risico, garantie, overmacht, etc.
5.5.4 Het nut van een (bedrijfs)jurist Indien er van de klantzijde specifieke wensen en/of eisen worden geuit, is het handig deze voor te leggen aan de bedrijfsjurist. Deze zal vaststellen wat exact wordt overeengekomen. Ook bij het opstellen van algemene voorwaarden is een bedrijfsjurist een aanrader.
5.5.5 Een internetcasus Uit de casus blijkt logischerwijs dat aan algemene voorwaarden in elektronische vorm dezelfde juridische waarde kan worden toegekend als de papieren vorm. De elektronische variant voldoet ook aan de eis ´schriftelijk´, zoals die is opgenomen in art. 6:231 sub a van het BW. Hiernaast heeft de e-winkeleigenaar de informatieplicht, wat wil zeggen dat hij zijn klanten de kans moet geven kennis te nemen van de algemene voorwaarden, bijvoorbeeld d.m.v. een
19
hyperlink. Het is aan te raden de consument expliciet te laten bevestigen dat zij akkoord gaan met de algemene voorwaarden, bijvoorbeeld door een “OK”-knop.
20
Hoofdstuk 6: Aansprakelijkheid en verzekering Iemand die aansprakelijk is voor schade, moet deze in beginsel ook vergoeden. Iemand kan aansprakelijk zijn ten opzichte van zijn contractpartner die schade ondervindt, maar ook ten opzichte van derden die schade ondervinden (bijv. Onrechtmatige daad). 6.1 Precontractuele verhoudingen Burgerlijk wetboek: “Een overeenkomst komt tot stand door aanbod en aanvaarding daarvan”. Volgens de Hoge Raad (1983) komt een contract in drie fasen (precontractuele face) tot stand: 1. De partijen kunnen de onderhandelingen zonder verplichtingen beëindigen. 2. Onderhandelingen kunnen niet worden afgebroken zonder de daarbij gemoeide kosten geheel of gedeeltelijk te vergoeden. 3. Het afbreken van de onderhandelingen is in strijd met de onderlinge vertrouwensrelatie. De kosten die misgelopen worden door het niet afsluiten van het contract kunnen worden verhaald op de andere partij. In de praktijk bij automatiseringsprojecten gaat het vaak als volgt: 1. Request for proposal: klant vraagt potentiële leverancier om offerte. 2. Vooroverleg: leverancier wil helder beeld van de wensen van de klant op basis van offerte. 3. Offerte: leverancier dient de offerte in. 4. Overleg: op basis van offerte laatste punten onderhandelen. 5. Tekening overeenkomst. 6. Aanvang uitvoering van de getekende overeenkomst. Afhankelijk van de situatie kan er in fase 4 al sprake zijn van een overeenkomst (als beide partijen het eens zijn over de te verrichten prestaties). 6.2 Dwaling Bij een contract is er sprake van wilsovereenstemming van beide partijen. Een contract kan worden vernietigd als er sprake is van bedrog, bedreigen of verkeerde voorstelling van zaken (dwaling). Dwaling kan gevolg zijn van het verstrekken van verkeerde of weglaten van inlichtingen door de wederpartij. Volgens de mededelingsplicht moeten feiten, omstandigheden en ontwikkelingen worden vermeld. Bij een beroep op dwaling eist men vernietiging van het contract en vervalt de mogelijkheid tot een schadevergoeding. 6.3 Rechtsgevolgen van overeenkomsten Als gevolg van een overeenkomst ontstaan rechtsgevolgen. Dit zijn rechten en plichten over en weer. Het Burgerlijk Wetboek: Naast de door partijen overeengekomen rechtsgevolgen kunnen rechtsgevolgen ontstaan die naar aard van de overeenkomst, uit de wet, de gewoonte of de eisen van redelijkheid en billijkheid voortvloeien. Nu meer over deze termen: 6.3.1 Overeengekomen rechtsgevolgen. Hierbij gaat het er niet alleen om wat er op papier staat maar ook om ‘de zin die partijen over en weer redelijkerwijs aan elkaars verklaringen en gedragingen mochten toekennen en op hetgeen zij te dien aanzien redelijkerwijs van elkaar mochten verwachten’ (Hoge Raad, 1981). 6.3.2 Entire agreement clause (4-hoekenbeding) Het 4-hoekenbeding vindt zijn oorsprong in de US en wordt vaak gebruikt bij computercontracten. Het 4-hoekenbeding is een schriftelijke bepaling in het contract die
21
inhoudt dat alle overeengekomen afspraken tussen de partijen zijn inbegrepen in het schriftelijk contract. Alle rechten en plichten die voortvloeien uit gebeurtenissen en afspraken in de precontractuele fase komen daarmee te vervallen. Dit conflicteert met de Nederlandse wetgeving: zie vorige paragraaf. 6.3.3 Rechtsgevolgen uit de wet De wet kent dwingendrechtelijke bepalingen. Dit zijn bepalingen waar partijen niet bij overeenkomsten van mogen afwijken. 6.3.4 Rechtsgevolgen uit gewoonte Gewoonte binnen een beroeps- of bedrijfstak kan mede de inhoud van de overeenkomst bepalen. Binnen de relatief nieuwe ICT-branche zijn nog weinig gewoontes uitgekristalliseerd. 6.3.5 Rechtsgevolgen op grond van de redelijkheid en billijkheid De normen van redelijkheid en billijkheid eisen dat partijen de binnen een contractuele relatie tevens in een bij de relatie passende mate rekening houden met elkaars belangen. Hierbij gaat het vaak over het verstrekken van informatie tussen beide partijen, bijvoorbeeld: de leverancier moet de klant waarschuwen wanneer hij een bepaald risico loopt (informatieplicht). De leverancier moet vanuit zijn kennis en ervaring informatie omtrent het bedrijf van zijn klant achterhalen (onderzoeksplicht). 6.4 Garantiebepalingen en kwaliteit De eisen die aan een automatiseringsproject worden gesteld (pakket van eisen) kunnen van invloed zijn op het verdelen van de aansprakelijkheid en risico’s. Vaak worden kwaliteitscertificaten tussen partijen gesloten of via een onafhankelijke certificatieinstelling. Er bestaat grote onzekerheid over de rechten en plichten van de partijen als gevolg van een certificaat. Dit kan afhangen van wat er in het contract staat. 6.5 Aansprakelijkheid en automatisering Automatiseringsprojecten gaan nogal eens mis. • Toerekenbare tekortkoming van 1 van de partijen = verplichte schadevergoeding. • Wettelijke aansprakelijkheid (ook door derde partij): o Onrechtmatige daad. o Productaansprakelijkheid: schade ontstaat door een gebrekkig product. 6.6 (Niet-)Nakoming van verplichtingen Bij niet-nakoming (bijvoorbeeld tekortkoming) van een overeenkomst (wanprestatie) kan een van de twee partijen een schadevergoeding en/of ontbinding van de overeenkomst vorderen. Een derde partij kan niet beroepen op wanprestatie, maar wel op onrechtmatige daad. 6.7 Inspannings- of resultaat verbintenis Resultaatsverbintenis: aansprakelijkheid wanneer het overeengekomen resultaat is uitgebleven. Inspanningsverbintenis: aansprakelijkheid wanneer er onvoldoende inspanning is verricht voor het bereiken van een bepaald resultaat. Bewijslast bij inspanningsverbintenis is moeilijker, bijvoorbeeld op grond van redelijkheid en billijkheid. Bij automatiseringsprojecten vaak inspanningsverbintenis, omdat resultaat moeilijk te garanderen is.
22
6.8 Overmacht en garantie De schuldenaar kan niet aansprakelijk worden gesteld door een tekortkoming wanneer er sprake is van overmacht (BW). De schuldeiser mag bij overmacht geen schadevergoeding vragen maar heeft wel het recht op ontbinding van de overeenkomst, tenzij dit laatste in de overeenkomst is uitgesloten. De schuldenaar is aansprakelijk voor gedragingen van personen van wie hij de hulp gebruikt bij de naleving van zijn verbintenis. Met behulp van garantiebepalingen, vrijwaringclausules en exoneratieclausules (voor beperking of uitsluiting van aansprakelijkheid, tenzij sprake van grove schuld) kan men bepalen voor wiens rekening bepaalde tekortkomingen komen. 6.9 Geschillenbeslechting In het contract kunnen bepalingen worden opgenomen die in het geval van een geschil een rol gaan spelen. Om een rechtszaak te voorkomen, kan een mini-trial oplossing bieden. Hierbij wordt er m.b.v. een onafhankelijke commissie bemiddelt tussen de twee partijen om escalatie te voorkomen. 6.10 Productenaansprakelijkheid 1 november 1990: inwerkingtreding van een aantal nieuwe wetsartikelen omtrent productenaansprakelijkheid als gevolg van EG-richtlijn. Nu wordt besproken wat de invloed hiervan is op de ICT. 6.10.1 Consumentenbescherming Op Europees niveau erkent men het grote belang van consumentenbescherming. Nieuwe richtlijnen omtrent productenaansprakelijkheid als gevolg. 6.10.2 EG-Richtlijn produktenaansprakelijkheid (ja, nu met een ‘k’!) Deze houdt o.a. in: “De producent is aansprakelijk voor de schade, veroorzaakt door een gebrek in zijn product”. Het is niet relevant of de producent de schuld heeft, maar hij draagt het risico. In Nederland kan men naast de risicoaansprakelijkheid terugvallen op onrechtmatige daad en contractuele aansprakelijkheid. 6.10.3 Automatisering en productenaansprakelijkheid Er staat niet in het BW of in de EG-Richtlijn dat software onder de categorie ‘producten’ valt en het is dus niet zeker of productenaansprakelijkheid van toepassing is op gebrekkige software. Een product wordt in het Burgerlijk Wetboek omschreven als een roerende zaak. Onder roerende zaken vallen alle zaken niet on-roerend zijn (haha, dat staat er echt). Een zaak is een door de mens vatbaar stoffelijk object. Het is de vraag of software wel een zaak is of niet, omdat deze beschouwd kan worden als bestanddeel van een drager, bijvoorbeeld CD-ROM. De argumenten voor (plusteken) en tegen (minteken) het kwalificeren van software (programmatuur) als een ‘product’: Software is niet stoffelijk dus geen roerend goed. + Uit de richtlijn blijkt niet dat een product stoffelijk moet zijn. + Software is natuurwetenschappelijk wel stoffelijk. + Stoffelijkheid van software kan worden aangenomen door uit te gaan van de stoffelijke drager ervan (bijvoorbeeld CD-ROM) Software is informatie en informatie is als zodanig geen product. + Software doet meer dan informeren. Het kan taken uitvoeren; meestal zonder dat het voor de gebruiker mogelijk is om die informatie te kennen.
23
-
-
+
Als software een product zou zijn, dan zou dit zijn vermeld in de richtlijn, zoals gedaan is voor electriciteit. + Elektriciteit is vermeld omdat de juridische status ervan in de lidstaten omstreden. Als men hetzelfde van software had kunnen voorspellen, was dit wel als uitzondering in de richtlijnen opgenomen. Softwareontwikkeling is een dienst en diensten zijn geen producten. + Bij het verrichten van een dienst kan wel degelijk een product tot stand komen. De grens tussen product en dienst is bovendien niet haarscherp te trekken. In het belang van de consumentenbescherming is het logisch dat software onder de productenaansprakelijkheid valt.
Schade De productenaansprakelijkheid betreft de productschade. Onder productschade valt schade aan personen of zaken in de consumentensfeer. De gevolgen schade door fouten in software kunnen dus vrijwel nooit als productschade worden verklaard. Er zijn ook nog geen rechterlijke uitspraken over gedaan. Gebrek BW: “Een product is gebrekkig als het niet de veiligheid biedt die men daarvan mag verwachten, alle omstandigheden in aanmerking genomen en in het bijzonder de presentatie van het product, het redelijkerwijs te verwachten gebruik en het tijdstip waarop het in het verkeer werd gebracht.” Voorwaarde en uitzondering voor gebrekkigheid zijn (ook in BW opgenomen): • Uitzondering: wanneer er een beter product in omloop is gebracht. • Voorwaarde: gebrekkigheid moet bewezen worden. Een product is gebrekkig als het niet de veiligheid biedt die men (het grote publiek) daarvan mag verwachten. Toepassing op software: als het grote publiek niet op de hoogte is van de kwaliteit van de software, en vertrouwen heeft in informatietechnologie, dan moet software een grote mate van veiligheid bieden. Bugs zijn vaak onvermijdbaar en soms niet op te sporen. Of deze een gebrek vormen is afhankelijk van de omstandigheden, bijv. het doel van het product, reclame, begeleidende documentatie, gebruik van bepaalde programmatuur, gemaakte aanpassingen etc. Verweren van de producten tegen productenaansprakelijkheid: • Ontwikkelingsrisicoverweer (state of the art-verweer): Een producten kan op grond van de stand van de wetenschap en techniek op het tijdstip wanneer het product in omloop is gebracht onmogelijk het bestaan van het gebrek ontdekken. Het is namelijk onmogelijk om foutloze toepassingen te maken, tenzij men ze oneindig test. Het ‘state of the art-verweer’ lijkt desondanks geen goede oplossing voor de informatietechnologie: in het geval van bijvoorbeeld computergestuurde bestralingsapparatuur kan het voor ernstige schade zorgen (als men deze niet uitgebreid test). • Overeenstemming met een dwingendrechtelijke bepaling. • Het gebrek is te wijten aan het ontwerp waarvan het onderdeel een bestanddeel vormt. • Het gebrek is te wijten aan verkeerde instructies door de eindfabrikant. Producent • Als niet kan worden vastgesteld wie de producten is, wordt de leverancier als producten beschouwd. 24
•
BW: als verschillende personen kunnen worden aangesproken voor dezelfde schade, dan is elk van hun geheel aansprakelijk.
6.11 Aansprakelijkheidsbepalingen In contracten en algemene voorwaarden komen een veelvoud van aansprakelijkheidsbepalingen voor welke variëren van vrijwel totale uitsluiting van aansprakelijkheid tot een in principe onbeperkte aansprakelijkheid. 6.12 Verzekering Het inventariseren van de risico’s die gepaard gaan met automatisering kan in een zogenaamde risk-management-analyse. Daarin past ook de overweging tot het afsluiten van verzekeringen. Verzekeringen op het gebied van automatisering bestaan nog niet lang, want (1) de ICT verandert snel, (2) onzekerheid over de risico’s, (3) de frequenties waarin de risico’s zich voordoen en (4) de financiële hoogte van de risico’s. Een groot gedeelte van de aansprakelijkheidsrisico’s wordt gedekt door een AVB-Polis (Aansprakelijkheidsverzekering Bedrijven). De schade die wordt vergoed op basis van de AVB-Polis is: 1. Persoonsschade (schade van derden als gevolg van letsel al of niet de dood te gevolg hebbend). 2. Schade aan goederen van anderen dan de verzekeringsnemer. 3. Gevolgschade. Voor de informaticabranche bestaat er nu de Beroepsaansprakelijkheidsverzekering (BAV) die de aansprakelijkheid dekt voor ‘zuivere vermogensschade’ veroorzaakt door beroepsfouten. Beroepsfout kan door bedrijf worden gedefinieerd, bijv. vergissingen, verzuim, onjuiste adviezen, nalatigheden, etc. Een automatiseringsbedrijf moet om risico van schade aan derden te verzekeren zowel door een AVB-polis als een BAV-polis zijn gedekt,
25
Samenvatting H7 Computercriminaliteit Het begrip computercriminaliteit is een tweeledig begrip. Het ziet zowel op misbruik van de computer zelf als op het misbruik van de in die computer opgeslagen informatie. 7.1 Misbruik Bij gedragingen die kunnen worden aangemerkt als comp. Criminaliteit betreft het activiteiten die een gevaar opleveren voor: • De beschikbaarheid van informatie en media (publieke infrastructuur) • De betrouwbaarheid van informatie en media of (gevolgen virus/wijziging software) • De exclusiviteit van informatie en media. (aftappen/hacken) 7.2 Criminaliteit en Internet Door de onderlinge verbondenheid van het internet wordt er misbruik gemaakt van het snel uitwisselen van informatie. Veel criminaliteit in Internet, twee soorten delicten vloeien daaruit voort: • Delicten die worden gepleegd ten aanzien van het Internet. (hacken) • Delicten die worden gepleegd met behulp van het Internet. (verspreiding strafbare boodschappen) 7.3 wetgeving Bij computercriminaliteit (CC) gaat het om oude en nieuwe strafbare gedragingen. Oud Æ toepasbaar van oude wet Nieuw Æ onlosmakelijk samenhangen met de informatiemaatschappij. Schiet soms tekort, daarom de wetgeving voor de elektronische snelweg(nota WES), deze beschrijft drie verschijnselen: 1. internationalisering 2. dematerialisering 3. technologische turbulentie ad. 1 zorgt er voor dat we te maken hebben met andere rechtsstelsels dan de Nederlandse. Ad 2 houdt in dat informatie in digitale vorm niet langer gebonden is aan een fysieke drager of plaats. En moet worden aangepast aan deze tijd. Denk aan voorbeeld briefgeheim en kopiëren(heel makkelijk). Ad 3. door constante verbetering, loopt de wet steeds achter. 7.4 Strafrecht met een beschouwing over CC begeven we ons op het terrein van het strafrecht. Daarom rekening houden met legaliteitsbeginsel. 7.4.1 legaliteitsbeginsel geen feit is strafbaar dan uit kracht van een daaraan voorafgegane wettelijke strafbepaling. Dus als feiten strafbaar te lijken, moeten ze toch vrijgesproken worden. 7.4.2 computergegevensarrest voorbeeld van het verduisteren van software van oude baas (kopiëren) om makkelijk te beginnen met eigen bedrijf. Samen met elektriciteit voorbeeld.
26
7.5 Strafprocesrecht Wordt gezegd dat de wetgeving wetten moet bieden die zowel in de off als online wereld gelden. 7.6 Wet Computercriminaliteit I commissie CC kreeg tot taak te adviseren over de wenselijkheid om door wetswijziging bepaalde gedragingen duidelijker binnen het bereik van de Nederlandse strafwetgeving te brengen en aan te geven welke bevoegdheden op het gebied van het strafprocesrecht moeten worden geschapen. Brachten drie soorten belangen naar voren: beschikbaarheid, integriteit en exclusiviteit van apparatuur en gegevens. Daarnaast is rekening gehouden met de volgende punten: • De eigen verantwoordelijkheid van de burgers. • De aard van het strafrecht als laatste redmiddel, dat terughoudend moet worden aangewend. • De handhaafbaarheid van de bepalingen. (ongeloofwaardigheid). 7.6.1 Definities Definities worden zo min mogelijk technisch gehouden vanwege de snelle veroudering. Alleen definities voor gegevens en geautomatiseerd werk.’Iedere weergave van feiten, begrippen, of instructies geschikt voor overdracht etc. door personen of geautomatiseerde werken.’ 7.6.2 Computervredebreuk en het beveiligingsvereiste Gaat om eigen verantwoordelijkheid en de plaats van strafrecht als sluitstuk in de samenleving door hacken. In hoeverre moet een geautomatiseerd werk beveiligd zijn om echt strafbaar te zijn. Het vastleggen voor zichzelf na hacken is ook strafbaar. 7.6.3 Virussen Strafbaar is het opzettelijk op door zijn schuld met ernstig schadelijk gevolg virussen op gegevens loslaat of de virussen ter beschikking stelt of verspreid. 7.6.4 wijzigingen in het wetboek van strafvordering Aftappen mag meer. Daarnaast is het onder voorwaarden toegestaan gegevens te onderzoeken, vast te leggen en bepaalde mensen een bevel te geven om toegang te verschaffen. Als geen betekenis hebben Æ vernietigen. 7.6.5 Cryptografie Cryptografie kan crimineel worden toegepast. Daarom sommige bedrijven vergunningen verlenen om überhaupt versleuteling te mogen gebruiken. Nooit doorgegaan. 7.7 Wetsvoorstel computercriminaliteit II in 1993 had de technologie toch weer de wet in gehaald, dus weer aanpassingen: 7.7.1 Aansprakelijkheid van tussenpersonen Naast huidig recht zijn internetproviders mogelijk strafrechtelijk aansprakelijk wegens medeplichtigheid aan uitings- en verspreidingsdelicten. In de strafrechtelijke aansprakelijkheid voor tussenpersonen (ook providers); deze worden gevrijwaard van vervolging indien zij aan drie voorwaarden voldoen: • Op grond van de voorwaarden moet de internetprovider zichzelf aan justitie bekendmaken • Redelijkerwijs alles doen om de bron te identificeren
27
•
Verdere verspreiding van het strafbare materiaal voorkomen
7.7.2 Vernietiging van computergegevens Voor deze wetaanname was het niet mogelijk gegevens te vernietiging of in beslag te nemen omdat gegevens vooralsnog geen goed bleken te zijn. In CCII is dit wel mogelijk en bij wijze van voorlopige maatregel computergegevens ontoegankelijk maken en bij de einduitspraak over het feit of bij afzonderlijke beschikking door de rechter te doen vernietigen. 7.7.3 Ontsleuteling van gegevens In CCI bestaat de mogelijkheid om bij een huiszoeking bepaalde personen zoals de netwerkbeheerder te verplichten mee te werken aan de ontsleuteling van in de computers aangetroffen gegevens. In CCII wordt dit doorgetrokken naar telecommunicatie. Verder werd de mogelijkheid overwogen om een verplichting tot ontsleuteling van gegevens ook voor verdachten te laten gelden. Ging niet door. Aantal bezwaren tegen verplichting tot ontsleuteling van gegevens voor verdachten: • In strijd met Europees verdrag ter bescherming van de rechten van de mens. • Niet aan te tonen dat een verdachte liegt, als hij zegt niet te kunnen ontsleutelen. Dus bewijzen dat je onschuldig bent. 7.7.4 Opgeslagen en stromende gegevens Of een gegeven tijdens de verzending wordt afgetapt of als het zich al op een computer bevindt, geeft verschillende opsporingsbevoegdheden met zich mee. Voor de een strengere voorwaarden dan voor de andere. 7.7.5 Bescherming van e-mail E-mail krijgt in principe de zelfde bescherming als de klassieke brief. Het zonder toestemming inzien van beveiligde e-mail is computervredebreuk. 7.7.6 Opsporingsonderzoek op openbare computernetwerken Bevoegde politie kan pseudo aankopen doen om mensen in de val te laten lopen (bv. Door kinderporno op Internet te kopen). Dus offline geldt ook voor online. 7.8 Stand van zaken wetsvoorstel CCII Helaas werd door Europa het voorstel nog niet helemaal goedgekeurd ten aanzien van de aansprakelijkheid van dienstverleners die als tussenpersoon optreden (providers). Dit is eruit gehaald, maar in een nieuwe aansprakelijkheidsregeling gestopt. Nu nog in behandeling. 7.9 Aansprakelijkheid van de internetprovider De richtlijn E-commerce bevat een zogenoemde horizontale aansprakelijkheidsregeling. Dat houdt in dat de richtlijn betrekking heeft op alle rechtsgebieden en zowel op strafrechtelijke als op civielrechtelijke vraagstukken van toepassing is. 7.9.1 Rollen van elektronische tussenpersonen drie typen activiteiten of rollen van elektronische tussenpersonen: 1. Mere conduit 2. cache provider 3. hosting
28
ad 1 internetproviders die slechts als doorgeefluik functioneren (IAP). Ad 2 cache (tijdelijk ophalen en verspreiden) is internetprovider in beginsel niet aansprakelijk voor de informatie die in zijn cache aanwezig is. Ad3 normale provider (email adres etc.). Hier bestaat de meeste ruimte voor een eventuele aansprakelijkheid van de tussenpersoon. 7.9.2 Geen algemene toezichtsverplichting een Internet provider is niet verplicht om alle informatie te controleren op onrechtmatige activiteiten. Dus soms wel. 7.9.3 Nationaal recht Bij het bepalen of een internet provider in een bepaald geval al dan niet strafrechtelijk aansprakelijk kan worden gesteld, spelen vijf factoren een rol: • de inbreng van de provider bij het ontsluiten van de informatie • kennis bij de provider over de aanwezigheid van informatie • wetenschap bij de internetprovider dat het onmiskenbaar gaat om informatie met een onrechtmatig karakter • mogelijkheid voor de internetprovider om de informatie te verwijderen • het al dan niet verwijderd hebben van de onrechtmatige informatie (indien mogelijk) 7.10.1 Rechtsmacht Moeilijk voor Nederland indien daad gepleegd is op buitenlands grondgebied. Alleen aanpak mogelijk in samenwerking met de autoriteiten van het andere land. Verzoek tot rechtshulp wordt dit genoemd. Is vaak moeilijk zoals gebleken bij I Love U virus.
29
Hoofdstuk 9 Juridische bescherming van persoons- gegevens 9.1 geschiedenis Met de opkomst van de IT klonk een steeds luidere roep om de bescherming vd persoonlijke levenssfeer. Er was een beangstigend gevoel in Nederland, deze kwam tot uiting bij de algemene volkstelling. Dit werd een flop vanwege “burgerlijke ongehoorzaamheid” 9.1.1 Van Commissie Koopmans tot de WPR Door deze flop werd een commissie in leven geroepen, commissie Koopmans. Deze adviseerde over wenselijke maatregelen ter bescherming van de persoonlijk levenssfeer in verband met het gebruik van geautomatiseerde registratiesystemen voor persoonsgegevens en van andere persoonsregistraties. Hiernaast was er nog een andere stimulans tot wetgeving, het verdrag van Straatsburg. De rest is crap, meer geschiedenis etc. 9.1.2. Wet persoonsregistraties (WPR) De WPR is van toepassing op geautomatiseerde en op systematisch aangelegde nietgeautomatiseerde persoonsregistraties. Een persoonsregistratie is “samenhangende verzameling van op verschillende personen betrekking hebbende persoonsgegevens.” Een persoonsgegeven is “een gegeven dat herleidbaar is tot een individuele natuurlijke persoon.” Degene die zeggenschap had over de persoonsregistratie was de houder. Hij bepaalde het doel, de inhoud en het gebruik en besliste over de aanleg van een registratie. Het begrip houderschap vormde samen met het begrip registratie de kern van het toepassingsbereik van deze wet. Maar deze wet is alweer buiten werking getreden, dus meer crap, en is vervangen door een nieuwe wet, de Wet bescherming persoonsgegevens (Wpb). 9.1.3 Ontwikkelingen binnen de Europese Unie Ook binnen de EU waren er ontwikkelingen. Zo was het niet langer mogelijk om aan de minimumeisen van de privacy te voldoen in Europees verband, waaraan op grond van het Verdrag van Straatsburg in verband met het houden van persoonsregistratie moest worden voldaan. Daarom werden de lidstaten geadviseerd om aan te sluiten bij het Verdrag van Straatsburg. Hoe dan ook, het beoogde resultaat, de harmonisering van de voorwaarden voor het Europese gegevensverkeer, was nog lang niet bereikt. Er waren nog steeds problemen met belemmerende beschermingsregels. Hiervoor verschenen voorstellen voor twee richtlijnen. De eerste richtlijn had betrekking tot de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende vrije verkeer van die gegevens. De tweede richtlijn betrof specifieke regels voor de telecommunicatie en met name de digitale netwerken. 9.1.4. Europese Richtlijn Bescherming Persoonsgegevens De belangrijkste verandering van de richtlijn tov de WPR is dat niet de persoonsregistratie voorwerp van bescherming is, maar de persoonsgegevens, en dan vooral de bewerking ervan. De definitie van persoonsgegeven zoals art. 2 sub a stelt: Iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijk persoon, hierna “betrokkene” te noemen...als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit. 30
De verwerking van persoonsgegevens is elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens Al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. (als je dit uit je hoofd leert ben je echt debiel...naja, dit overtypen is eigenlijk ook al debiel...) Het uitgangspunt van de richtlijn is dat verwerking van persoonsgegevens in beginsel niet is toegestaan, behalve in abstracte gevallen mag dit. Verder is op te merken dat het object van de regelgeving onder de richtlijn is verschoven van “het houden van een registratie”naar “het verwerken van persoonsgegevens”. Dit is veel dynamischer van aard. 9.1.5. Wet bescherming persoonsgegevens Deze wet is erg laat in werking getreden, nl. september 2001. Waarom is niet interessant. Voor de rest verder weinig interessants. 9.2 Algemene kenmerken Wbp De Wbp bevat vooral materiële normen. De formele normen zijn sterk verminderd in aantal tov de WPR. De materiële normen zijn op iedere verwerking van persoonsgegevens van toepassing. Hierdoor heeft de Wbp een hoog abstractieniveau en lijken daardoor meer op beginselen. De Wbp is vrijwel onbeperkt op de overheid van toepassing. Alleen verwerkingen door inlichtingen- en veiligheidsdiensten etc. zijn uitgesloten. Ook andere grondrechten leiden tot beperkte toepassing van de Wbp, vooral met vrijheid van meninsuiting. Een bestand is gegevens die geordend zijn met het doel snel doorzocht te kunnen worden. Een geautomatiseerde verwerking betreft altijd een bestand. Een handmatige verwerking betreft een bestand wanneer de persoonsgegevens daarin eenvoudig te doorzoeken zijn. Verder is de Wbp niet van toepassing op persoonlijke en huishoudelijke verwerkingen. 9.3 Belangrijke definities uit de Wbp Hieronder de definities van gebruikte termen uit de Wbp: persoonsgegeven en verwerking, de verantwoordelijke, bewerker en betrokkene. 9.3.1. Persoonsgegeven en verwerking Definitie persoonsgegeven zie 9.1.4. Verder zijn er 2 eisen waaraan voldaan moet worden voor een persoonsgegeven: • Er moet sprake zijn van een gegeven dat een natuurlijk persoon betreft • Deze Persoon moet voor de bezitter van het gegeven (de verantwoordelijke) zonder onevenredige inspanning identificeerbaar zijn Het eerste sluit bedrijven uit, de tweede is nodig voor de situatie waarbij in de handen van de één een persoongegeven is en in een andere niet. Verwerking is zeer ruim, het is vrijwel elke handeling die kan worden verricht met een persoongegeven. Verder moeten de gegevens op een eerlijke manier verkregen worden. Alleen doorgeven via netwerk valt hier niet onder.
31
9.3.2. De verantwoordelijke, bewerker en betrokkene Kenmerkend voor de “verantwoordelijke” is vooral de zeggenschap over het doel en de middelen van de verwerking. Volgens de wet is de verantwoordelijke “de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.” De verantwoordelijk is aan de meeste plichten uit de wet direct verbonden. Is er een min of meer onafhankelijke opdrachtnemer dan is deze een “bewerker”: “degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.” De “betrokkene”is op wie de gegevens slaan. Dan is er ook nog een bewerker, hij mag alleen de gegevns voor de verantwoordelijke bewerken. Verder moet de verantwoordelijke een overeenkomst sluiten met de bewerker, zo is de verantwoordelijke altijd aansprakelijk voor het doen en laten van de bewerker. 9.4 Algemene beginselen van de Wbp Deze zijn: • Rechtmatigheidsbeginsel • Doelbeginsel • Beginsel van verenigbaarheid van de verwerking • Proportionaliteitsbeginsel • Transparantiebeginsel 9.4.1. Rechtmatigheidsbeginsel art. 6 Wbp: Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt. Dit houdt in dat de betrokkene op de hoogte moet kunnen raken met wat zijn gegevens wordt gedaan (de bewerkingen). Ook moet hij ingelicht zijn over de doeleinden van de verwerking. 9.4.2. Doelbeginsel art. 7: Persoonsgegevens worden voor een welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld. Uit dit vloeit voort dat de betrokkene altijd op de hoogte moet zijn van het doel waarmee zijn gegevens worden verwerkt. De verwerking moet een “welbepaald” doel dienen. Dit mag niet te vaag omschreven worden. 9.4.3. Grondslagen voor de bewerking art. 8: Persoonsgegevens mogen slechts worden verwerkt indien: a. ondubbelzinnige toestemming van betrokkene b. noodzakelijk voor uitvoering van overeenkomst c. nakoming van een wettelijke verplichting d. van vitaal belang voor betrokkene e.voor vervulling van een publiekrechtelijke taak door bestuursorgaan f. noodzakelijk voor het gerechtvaardigde belang tenzij belang vd betrokkene prevaleert 9.4.4 Verenigbaarheid Verwerkingen moeten gebonden zijn aan een duidelijk doel. Dus je mag niet verder verwerken nadat het doel is volbracht. art. 9.1 Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.
32
2. De verantwoordelijk houdt rekening met a. de aard van de betreffende gegevens b. gevolgen vd bewerking voor de betrokkene c. wijze waarop de gegevens zijn verkregen d. de mate waarin voor de betrokkene wordt voorzien in passende waarborgen art. 10.1 Persoonsgegevens worden niet langer bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de verwrekelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt Als er gegevens worden verwerkt dan moet de verantwoordelijke rekening houden met art9 lid 2 en art. 10. Verder wordt er ook gekeken naar de aard vd gegevens. Gevoelige gegevens zullen minder snel voor afwijkende doelen verwerkt mogen worden. 9.4.5. Proportionaliteit Proportionaliteit betekent dat niet meer gegevens morgen worden verwerkt dan noodzakelijk is voor een bepaald doel art. 11 1. Persoonsgegevens mogen slechts verwerkt worden voorzover ter zake dienend en niet bovenmatig zijn 2. De verantwoordelijke treft maatregelen opdat persoonsgegeven, die verzameld en verwerkt worden, juist en nauwkeurig zijn 9.4.6. Transparantie (inzichtelijkheid) Transparantie wil zeggen dat de gegevensverwerking begrijpelijk en inzichtelijk moet zijn voor de betrokkene. 9.4.7. Derdenverstrekking, derdenlanden Het is niet altijd mogelijk om gegevens naar andere landen te sturen, vooral niet als ze niet goed door de wet beschermd worden. Maar binnen de EU is t wel mogelijk, de EU kan je beschouwen als één rechtsgebied. 9.4.8. Bijzondere gegevens Dit zijn gevoelige gegevens en mogen op een paar uitzonderingen na niet verwerkt worden. Dit zijn: • Godsdienst of levensovertuiging • Ras • Politieke gezindheid • Gezondheid • Seksuele leven • Lidmaatschap van een vakbeweging En nog een paar niet boeiende dingen 9.5 Toezicht op de Wbp Toezicht op Wbp kan bijv. Voor de civiele rechter worden gebracht. Verder kan de verantwoordelijke die de wet overtreedt strafrechtelijk worden beboet. Er wordt verder ingegaan op het College voor de Bescherming van Persoonsgegevens (CBP), een speciale functionaris en gedragscodes
33
9.5.1. Het CBP Het CBP is primair bevoegd met toezicht op de naleving en de handhaving van de Wbp. Het kan ook bestuursdwang toepassen, dit wil zeggen dat ze op grond van de Awb een dwangsom op mag leggen of medewerking mag vorderen aan controles. Verder wordt er ook aan het CBP advies gevraagd. Het is verder onafhankelijk van de regering en vervult haar taken in onafhankelijkheid. 9.5.2. Functionaris voor de gegevensbescherming Een functionaris, aangewezen door een verantwoordelijke of organisatie, kan, na aanmelding bij het college, toezien op de verwerking van persoonsgegevens binnen de organisatie van de verantwoordelijke. De functionaris moet ook onafhankelijk zijn t.o.v. de verantwoordelijke 9.5.3. Gedragscodes Als organisaties veel gegevens verwerken, dan kan er gekozen worden om een gedragscode te hanteren. Dit zijn als invulling van goede normen van de Wbp voor de organisatie. Ook kan hier een regeling worden opgenomen voor geschillen. De functionaris moet dan toezien op de naleving van gedragscodes 9.6 Plichten voor de verantwoordelijke De verantwoordelijke moet aan de volgende (chronologische) normen voldoen: • Algemeen: gegevensverwerking in overeenstemming met de wet, behoorlijk en zorgvuldig (art. 6) • Verzameling voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden (art. 7) • Grondslag rechtmatigheid gegevensverwerking (art. 8 is uitwerking van art. 7) • Verdere verwerking niet onverenigbaar met doeleinden van verkrijging (art. 9) • Kwaliteit gegevens: toereikend, relevant, nauwkeurig (art. 11) • Beveiliging (art. 12,13 en 14) • Bewaring: Niet langer dan noodzakelijk (art. 10) Bovenstaande zijn materiële normen. Hiernaast zijn er nog een tweetal formele vereisen. Dit zijn melding van zijn bestand en de wijze waarop de betrokkene moet worden geïnformeerd. 9.6.1. Melding Bij een verwerking van een persoonsgegeven moet dit in beginsel gemeld worden aan het CBP. Sommige verwerkingen worden vrijgesteld aan deze meldingsplicht, bijv. personeeladministraties, salarisadministraties etc. Verder niet echt interessant, blz 166. Soms is er een voorafgaand onderzoek nodig bijv. bij strafrechterlijke gegevens. Dit onderzoek biedt de CBP de kans om een voorgenomen verwerking te onderzoeken. 9.6.2. Informeren betrokkene De betrokkene moet altijd op de hoogte zijn vd doeleinden vd verwerking en de identiteit van de verantwoordelijke. Of tegelijkertijd geïnformeerd (aanmeldingsformulier) of geïnformeerd na het vastleggen van gegevens. Wanneer al op de hoogte van doeleinden en identiteit van de verantwoordelijke hoeft de betrokkene niet meer geïnformeerd te worden. 9.7 Rechten voor de betrokkene De betrokkene heeft de volgende rechten: 1. inzage in de gegevens
34
2. correctie van gegevens 3. verzet tegen verwerking Lees blz 167 als je dit niet snapt...
35
