Complicaties na verkeersongeluk

Het arrest gaat in de kern over het volgende. Een man was in 1998 betrokken bij een verkeersongeluk. Bij dat verkeersongeluk heeft hij een gebroken been opgelopen. Hiervoor is hij behandeld in het Onze Lieve Vrouw Gasthuis (OLVG) te Amsterdam. Er is necrose opgetreden (celafsterving) van de voetheffers, waardoor de man nu een klapvoet heeft.

Aansprakelijkstelling ziekenhuis door verzekeraar behandeld

De man stelt dat de oorzaak voor deze complicatie is gelegen in een fout van het OLVG. Hij heeft in dat kader een rapport laten opstellen door een arts. Op basis van dat rapport heeft hij OLVG aansprakelijk gesteld.

Het OLVG is verzekerd bij Medirisk en Medirisk neemt de behandeling van de claim dan ook over van het OLVG. De man geeft toestemming aan het OLVG om zijn medische gegevens uit te wisselen met de medisch adviseur van Medirisk.

Claim wordt door verzekeraar afgewezen

De medisch adviseur van de verzekeraar stelt een rapport op met zijn bevindingen. Dit rapport wordt niet ter beschikking gesteld aan de man. Het enige dat de man ontvangt is een brief van de verzekeraar, waarin de aansprakelijkheid van het ziekenhuis wordt afgewezen. In die brief wordt (summier) verwezen naar de bevindingen van de medisch adviseur van de verzekeraar en wordt overigens voornamelijk kritisch gereageerd op het rapport van de eigen arts van de man.

Man vordert inzage in al zijn persoonsgegevens

Naar aanleiding van de afwijzing van aansprakelijkheid, vordert de man bij Medirisk inzage in alle persoonsgegevens die Medirisk van hem verwerkt. Naar aanleiding van dat verzoek wordt door Medirisk het dossier van het OLVG aan de man verstrekt. Medirisk verstrekt geen andere gegevens aan de man. Dat wil dus zeggen dat niets van de interne documenten, correspondentie, etc. van Medirisk aan de man wordt overgelegd.

Man wenst ook interne gegevens van Medirisk te ontvangen

Daarmee neemt de man geen genoegen en hij doet dan ook verzoek op grond van artikel 35 Wet bescherming persoonsgegevens (Wbp). Daarbij verzoekt hij uitdrukkelijk ook om de diverse interne documenten van Medirisk, met uitzondering van de aantekeningen die bedoeld zijn voor de eigen gedachtevorming:

Ik verzoek u daarom mij binnen vier weken na heden (de in de WBp daartoe gegeven termijn) hetzij een kopie te zenden van alle betreffende stukken, hetzij (ten minste) het volledige overzicht ex artikel 35 lid 2 Wbp. Volledigheidshalve verwijs ik u hierbij naar HR 29 juni 2007, LJN BA 3529, met name ook rechtsoverweging 3.6.
De inzage heeft betrekking op elke verwerking van de medische gegevens, dus inclusief alle hierover gevoerde correspondentie, aantekeningen, (telefoon-)notities, besprekingsverslagen, interne en externe adviezen met inbegrip van de adviesaanvragen, et cetera. Uitsluitend de slechts voor de eigen gedachtevorming bestemde en niet met anderen gedeelde werkaantekeningen van uw eigen medisch adviseur kunnen desgewenst uit het ter inzage te geven dossier worden verwijderd.

Hof: ruim inzagerecht

In eerste instantie wijst de rechtbank het verzoek van de man af. In hoger beroep bij het Gerechtshof constateert het Hof allereerst dat het inzagerecht van artikel 35 Wbp erg ruim is: in reactie op een inzageverzoek moet alle relevante informatie in beginsel worden verstrekt. Dat is overigens sinds de Dexia-arresten vaste lijn in de jurisprudentie. Tegelijk merkt het Hof op dat het inzagerecht niet met zich meebrengt dat alle informatie uit een dossier moet worden verstrekt. Zo hoeven interne notities niet te worden verstrekt en kan, onder strikte omstandigheden, verstrekking van gegevens achterwege blijven in het kader van de bescherming van de rechten van anderen. Dit alles – ruime inzage, beperkte uitzonderingen – is overigens niet zo verrassend en komt dan ook in andere uitspraken terug.

Hof: rapport medisch deskundige verzekeraar moet worden verstrekt

Vervolgens komt wel een enigszins verrassend en voor de praktijk verstrekkend oordeel. Het Hof oordeelt namelijk dat het rapport dat is opgesteld door de medisch deskundige van de verzekeraar niet valt onder de (beperkte) uitzonderingen op het inzagerecht. Dat rapport, waarin die deskundige zijn oordeel geeft over de claim van de man, moet dus aan de man worden verstrekt.

Medirisk had hiertegen nog aangevoerd dat het verstrekken van dit rapport in strijd zou komen met het recht op een eerlijk proces voor Medirisk. Dat verweer vindt het Gerechtshof echter onvoldoende onderbouwd en dit wordt dan ook terzijde geschoven. Opvallend in dat kader is dat de rechtbank Utrecht eerder in een andere (maar soortgelijke) kwestie juist heeft geoordeeld dat het “de ongestoorde gedachtewisseling van de aangesproken persoon – in dit geval de verzekeraar – om te kunnen komen tot een standpunt naar aanleiding van de aansprakelijkstelling en zijn positie ten opzichte van de wederpartij in een eventuele procedure” te zeer zou schaden wanneer deze adviezen van de medisch adviseur aan derden kenbaar zou moeten maken.

Wanneer interne medische rapporten onder het inzagerecht van artikel 35 Wbp vallen, dan kan de vraag worden gesteld of dat niet ook geldt voor rapporten van bijvoorbeeld accountants of advocaten in soortgelijke gevallen. Of wellicht moet nog algemener worden geconcludeerd dat voortaan (nagenoeg?) alle interne stukken met betrekking tot een bepaald persoon onder het inzagerecht vallen? Het arrest maakt niet duidelijk waar de grens ligt. Dit lijkt me dan ook een van de onderwerpen die in cassatie – die ongetwijfeld zal worden ingesteld (zie ook hierna) – opnieuw naar voren zal komen.

Hof: overzicht geven van overige documenten met reden van weigering

Het is onbekend welke overige stukken er in het dossier van Medirisk bevinden. Medirisk heeft steeds geweigerd om te vertellen welke stukken het betreft. Het Gerechtshof merkt op dat het niet kan beoordelen of deze stukken al dan niet onder het inzagerecht vallen.

Vandaar het Gerechtshof Medirisk beveelt om binnen twee weken een overzicht te verstrekken van alle gegevens die zich in het dossier bevinden. In dat overzicht dient Medirisk per document een beknopte beschrijving te geven van de inhoud van het stuk en om welke reden Medirisk meent dat het betreffende stuk niet onder het inzagerecht van de Wbp valt. Vervolgens zal de man mogen reageren op dit overzicht.

De procedure wordt op dit punt dus nog vervolgd. Het is echter de vraag of het Hof er aan toe komt om dat overzicht van die stukken te beoordelen, of dat er voor die tijd al cassatie is ingesteld (zie hierna).

Principiele beschikking van het Gerechtshof

Het Hof lijkt een principiële beschikking te hebben willen wijzen. Opvallend is namelijk dat de verplichting om het medisch rapport en het overzicht van de inhoud van het dossier te verstrekken niet uitvoerbaar bij voorraad is verklaard, maar pas geldt twee weken nadat de beschikking in kracht van gewijsde is gegaan. Met andere woorden: pas twee weken nadat de termijn voor het instellen van cassatie is verstreken, dan wel twee weken nadat de cassatieprocedure is afgerond en deze beschikking van het Hof niet door de Hoge Raad is vernietigd, hoeft Medirisk deze gegevens te verstrekken. Dit terwijl het uitvoerbaar bij voorraad verklaren van een beschikking/arrest best gebruikelijk is.

Ook bepaalt het Gerechtshof dat van deze beschikking terstond cassatie kan worden ingesteld. Normaalgesproken zou dat pas kunnen wanneer de procedure bij het Gerechtshof volledig is afgerond.

Het is afwachten om te zien of er inderdaad cassatie wordt ingesteld. Wij houden u op de hoogte.

Vorige week kondigde Google aan om per 1 maart te komen met een nieuw privacybeleid. Op dat nieuwe beleid is veel kritiek. Zo zijn er onder meer kamervragen gesteld door Kees Verhoeven van D66. Ook heeft het College Bescherming vorige week al laten weten dat het nieuwe beleid zijn aandacht heeft.

De gezamenlijke Europese privacytoezichthouders, verenigd in de artikel 29 werkgroep, hebben nu in een brief aan Google laten weten dat zij in een gezamenlijke procedure het nieuwe beleid van Google wensen te onderzoeken. Het onderzoek zal worden geleid door de CNIL, de Franse privacytoezichthouder.

Google wordt in de brief opgeroepen om hangende het onderzoek het nieuwe beleid niet uit te rollen. Google heeft aan Bloomberg laten weten aan die oproep geen gehoor te zullen geven, omdat dit alleen maar tot verwarring zou leiden.

Wij houden u op de hoogte van verdere ontwikkelingen.

Genoeg redenen om nogmaals het belang van een goede webwinkel te benadrukken.

Uit de meldingen bij ConsuWijzer wordt duidelijk dat sommige webshops regelmatig slecht bereikbaar zijn (klantenservice, klachtafhandeling) en dat levering niet altijd even betrouwbaar is (niet tijdig of niet juist). Daarnaast worden consumenten nogal eens geconfronteerd met door de ondernemer opgeworpen belemmeringen indien zij gebruik willen maken van hun wettelijk herroepingsrecht.

De Consumentenautoriteit gaat snel optreden tegen webshops die zorgen voor leverings- of betalingsproblemen waarover de Consumentenautoriteit signalen ontvangt. Het is als webshop houder dus belangrijk om aan de geldende regelgeving te voldoen. Zo is er bijvoorbeeld de verplichting voor websitehouders om bepaalde informatie gemakkelijk, rechtstreeks en permanent toegankelijk te stellen voor diegenen die gebruik maken van de website. Het gaat dan om de volgende informatie:

Het arrest heeft betrekking op een geschil tussen Scope Werving en Selectie B.V. (hierna: Scope) en KPN B.V..

Scope klant bij voormalig Tiscali voor ADSL en hosting

Scope had in het verleden een overeenkomst gesloten met Tiscali voor het verzorgen van een internetverbinding en webhosting.  Tiscali werd op een gegeven moment overgenomen door KPN en KPN nam de contracten van de bestaande klanten van Tiscali over (tenzij die klanten zich daartegen verzetten).

Overstap van Tiscali naar KPN niet geheel vlekkeloos

Scope verzet zich niet tegen de contractsovername door KPN en KPN bevestigt dan ook op 6 maart 2008 de overstap aan Scope. Toch gaat er enige tijd later iets mis. Op 28 mei 2008 vindt een eerste kleine onderbreking van de dienstverlening plaats.

Enige tijd later website algeheel uit de lucht

Op 14 juli 2008 gaat de site vervolgens algeheel “uit de lucht”. De site komt vervolgens, zo leid ik tenminste uit de feiten af, op 14 augustus 2008 weer online. Op dat moment functioneert de site echter niet, omdat de gegevens in de achterliggende database verloren zijn gegaan. Het herstel van die database duurt vervolgens nog twee maanden.

Scope vordert geleden schade bij KPN

KPN wordt daarop aangesproken door Scope vanwege geleden schade, onder andere bestaande uit omzetverlies voor de maanden dat de site niet volledig operationeel was en kosten voor het opnieuw bouwen van de database. 

Voor het Gerechtshof wordt allereerst gestreden over de vraag of er nu wel of geen sprake was van contractsovername. Ook enkele andere formeel-juridische punten komen aan de orde. Die discussie laat ik even voor wat het is.

Kosten opnieuw bouwen database te wijten aan ontbreken back-up

Met betrekking tot de kosten voor het opnieuw bouwen van de database, overweegt het Hof dat Scope deze aan zichzelf te wijten heeft:

23.  De onder b. genoemde kosten voor het opnieuw opbouwen van de database vordert Scope omdat aan haar website een database hing waarin gegevens waren opgeslagen van vacatures van bedrijven en van personen die op zoek waren naar een baan. Deze database was verdwenen toen de website uit de lucht werd gehaald en moest geheel worden opgebouwd. KPN voert hiertegen aan dat Scope zelf een back-up van haar database had moeten maken of dat aan Tiscali of KPN had moeten vragen, nu deze het maken van back-ups als extra dienst aanbieden.

24.  Dit verweer van KPN slaagt. Het hof is van oordeel dat Scope gehouden was om – ter voorkoming van eventuele schade – te zorgen voor een back-up van haar database, nu de gegevens daarop klaarblijkelijk van groot belang waren voor de uitoefening van haar bedrijf. De schade is in zo grote mate veroorzaakt door haar nalaten, dat de tekortkoming van KPN op dit punt in het niet valt. Deze schadepost dient daarom voor rekening van Scope te blijven.

Deze kosten kunnen dus niet door Scope op KPN worden verhaald.

Omzetverlies alleen voor zover niet te wijten aan ontbreken back-up

Met betrekking tot het gevorderde omzetverlies wijst KPN er opnieuw op dat die schadepost kleiner zou zijn geweest wanneer Scope back-ups had gemaakt. Naar aanleiding van dit verweer heeft Scope in haar pleidooi haar schadevordering al verminderd tot de gederfde omzet van een maand (terwijl zij voorheen drie maanden omzetderving als schade vorderde). Dat gedurende een maand door Scope omzet is gederfd vanwege de problemen met de website is door KPN verder niet betwist.

Kennelijk bestaat er dus tussen partijen overeenstemming over de periode van omzetderving die door de problemen met de website is veroorzaakt (namelijk een maand). Een onbetwiste vordering kan in beginsel eenvoudig worden toegewezen. Opvallend in dat kader is dan ook dat het Hof toch expliciet overweegt dat het verweer van KPN met betrekking tot het ontbreken van back-ups juist is:

25. (…) Wel voert KPN met recht aan dat Scope de schade aan zichzelf heeft te wijten, voor die periode waarin de website reeds was hersteld, maar nog niet werkzaam door het ontbreken van de database.

Aangezien de periode van het omzetverlies valt in een zomermaand, wordt de schade door het Hof gesteld op de helft van de gemiddelde omzet in een normale maand. KPN wordt dus veroordeeld om een bedrag van € 14.283,–, te vermeerderen met wettelijke rente, te betalen.

Commentaar: schadebeperkingsplicht voor benadeelde partij

Het lijkt er op, hoewel het Hof daar niet expliciet naar verwijst, dat de maatstaf van artikel 6:101 BW door het Hof is toegepast. In dat artikel staat (kort samengevat) dat geen schade kan worden gevorderd voor zover die schade (mede) het gevolg is van omstandigheden die aan de benadeelde partij kunnen worden toegerekend (“eigen schuld”). Uit dat wetsartikel wordt ook wel afgeleid dat, tot op zekere hoogte, voor een benadeelde partij een plicht bestaat om schadebeperkend te handelen. Een ieder die gebruik maakt van IT-dienstverlening dient hier op bedacht te zijn. Een vordering tot vergoeding van schade wegens het verloren zijn gegaan van gegevens, kan onder bepaalde omstandigheden wel eens afstuiten op artikel 6:101 BW.

Tegelijk roept de hele procedure bij mij wel de vraag op hoe het kan zijn dat de database uberhaupt verloren is gegaan op de servers van KPN. Dat zou moeten betekenen dat de betreffende gegevens al binnen een maand volledig overschreven zijn (door bijvoorbeeld gegevens van andere klanten) en niet meer te herstellen uit een back-up die KPN zelf maakt. Ik ben erg benieuwd hoe dat feitelijk is gegaan. Het lijkt mij namelijk veel efficienter en praktischer om in een dergelijke situatie aan KPN te vragen de database te herstellen uit een back-up (al was het een oude versie), dan zelf twee maanden lang van de grond af die database weer op te bouwen. Uit het arrest kan ik niet opmaken of tussen partijen over een verplichting voor KPN tot algeheel herstel van alle gegevens is gediscussieerd. Het zou interessant geweest zijn om te zien de overweging over “eigen schuld” net zo was uitgevallen, wanneer die discussie wel gevoerd was.

Bescherming persoonlijke levenssfeer vs. vrijheid van meningsuiting
In deze zaak wordt Cruijf’s belang bij bescherming van zijn persoonlijke levenssfeer afgewogen tegen het belang van een uitgever om vrijelijk een mening over Cruijff te kunnen uiten met gebruik van foto’s van Cruijff als illustratie. De belangenafweging valt in het nadeel van Cruijff uit. De foto’s die in het boek zijn gepubliceerd zijn voor het overgrote deel gemaakt terwijl Cruijff op voor het algemeen publiek toegankelijke locaties aan voetbalwedstrijden deelnam. De foto’s waarvoor dat niet geldt betreffen niet zijn persoonlijke levenssfeer maar veel meer zijn functioneren als voetballer in het eerste elftal van een club en/of in competities waarvan bekend is dat zij grote publieke aandacht trekken, aldus het Hof. Het Hof gaat mee met het oordeel van de rechtbank dat het foto’s betreft die in het kader van de vrije nieuwsgaring zijn gemaakt, terwijl Cruijff wist dat hij gefotografeerd werd of kon worden. Er is dan ook niet sprake van een situatie waarin de bescherming van het privé leven moet prevaleren boven de vrijheid van meningsuiting.

Toestemming Cruijff nodig?
Het Hof merkt vervolgens op dat: ‘Het aanvaarden als algemeen uitgangspunt dat publicatie van foto’s als de onderhavige niet mag plaatsvinden zonder dat de daarop afgebeelde persoon daartoe toestemming heeft gegeven (..) zou de vrijheid om door middel van foto’s inlichtingen of denkbeelden te ontvangen of te verstrekken te zeer belemmeren.’ Enkel bij in opdracht gemaakte portretten is toestemming van de geportretteerde vereist voor openbaarmaking van dat portret.

Verzet redelijk belang Cruijff zich tegen publicatie?
Het Hof stelt wederom voorop dat het in onderhavig geval niet gaat om afbeeldingen die betrekking hebben op het privé leven van Cruijff. De foto’s zijn door Tirion gepubliceerd in een boek dat bedoeld is om het in voetbal geïnteresseerde publiek over het talent van Cruijff te informeren aan de hand van foto’s. Cruijff heeft niet voldoende toegelicht waarom het boek schadelijk is voor zijn reputatie. Ook wekt het boek niet de indruk dat Cruijff actief betrokken is geweest bij de totstandkoming daarvan nu het foto’s betreffen die gemaakt zijn in het kader van de vrije nieuwsgaring. Het door Cruijff genoemde associatiegevaar en/of verdere aan privacy gerelateerde schadelijke omstandigheden vormen dan ook geen grond voor een verbod op de publicatie van het fotoboek.

Economische belangen prevaleren niet
Cruijff heeft nog aangevoerd dat hijzelf zijn opgebouwde internationale reputatie en bekendheid uitbaat door de exploitatie van zijn portret en naam en dat hij daarom een belang heeft om te voorkomen dat anderen daarvan voor eigen commerciële doeleinden gebruik maken en daarmee zijn exploitatiemogelijkheden schaden. Het Hof gaat daar niet in mee. ‘Dat (..) het portretrecht aanspraak geeft op een exclusief exploitatierecht (..) kan niet als juist worden aanvaard. Daarmee worden de rechten van de auteur van de foto’s, zonder wiens eigen creatieve prestatie de foto’s überhaupt niet zouden hebben bestaan, miskend: het portretrecht moet in dit verband in beginsel worden gezien als een beperking van de uit het auteursrecht voortvloeiende exploitatierechten van de maker van het portret met het oog op redelijke belangen van de geportretteerde.’ 

Passende vergoeding
Voorgenoemde neemt niet weg dat in het geval er sprake is van een verzilverbare populariteit en de foto’s worden geopenbaard in het kader van een geheel of in overwegende mate aan de betrokken geportretteerde gewijde publicatie het redelijk belang van deze laatste zich er tegen kan verzetten dat tot publicatie wordt overgegaan zonder dat hem een passende vergoeding wordt aangeboden. Tirion heeft dit echter ook gedaan. Cruijff heeft dit aanbod echter geweigerd, zonder voldoende toe te lichten waarom het aanbod niet passend was.

Er is dus niet sprake van enig onrechtmatig handelen van Tirion.

Een van de opvallende punten uit het nieuwe beleid is dat Google zich het recht toe-eigent om gegevens over het gebruik van verschillende Google producten, zonder voorafgaande toestemming, met elkaar te combineren. Met andere woorden: de filmpjes die u bekijkt op YouTube kunnen straks van invloed zijn op de zoekresultaten in Google(met mogelijk genante gevolgen richting huisgenoten).

Vanuit het perspectief van Google is deze keuze begrijpelijk. Het stelt Google immers in staat om een uitgebreider profiel op te bouwen van haar gebruikers en zo advertenties te tonen die waarschijnlijk beter aansluiten bij de interesses van haar gebruikers (en daarmee de clicktrough rate verhogen).

Google beweert dat gebruikers hierdoor een betere internetbeleving voorgeschoteld krijgen.

Na verloop van tijd kunt u betere zoekresultaten, advertenties en andere inhoud verwachten wanneer u services van Google gebruikt.

Het is maar de vraag of gebruikers hier op zitten te wachten. Iedere Google-gebruiker krijgt straks immers straks zogenaamde “persoonlijke” zoekresultaten gepresenteerd, dus een soort afgeschermd eigen sub-internet. Diverse auteurs en filosofen, zoals Morozov in onder meer het boek “the Net Delusion“, laten de gevaren van een dergelijke ontwikkeling zien.

Welke gegevens nu precies gecombineerd worden blijft bovendien nogal onduidelijk. Het nieuwe beleid bevat hierover slechts de volgende passage.

We kunnen persoonlijke gegevens uit een bepaalde service combineren met gegevens uit andere Google-services, waaronder persoonlijke gegevens, zodat u bijvoorbeeld gemakkelijker dingen kunt delen met mensen die u kent.

Deze passage is kritisch beschouwd nagenoeg nietszeggend (let op de woorden kunnen, waaronder, bijvoorbeeld). Google lijkt in essentie te willen zeggen: wij combineren alle gegevens die we hebben naar eigen believen.

Iedereen met een Google-account krijgt met het nieuwe privacybeleid te maken (zoals gebruikers van GMail, mensen met een gebruikersnaam op YouTube, etc.). In de veelgestelde vragen maakt Google duidelijk dat wie niet akkoord gaat met het nieuwe privacybeleid, geen andere keuze heeft dan zijn account te sluiten:

Als u services van Google blijft gebruiken na 1 maart, doet u dit conform het nieuwe Privacybeleid en de nieuwe Servicevoorwaarden. Als u uw Google-account liever wilt sluiten, kunt u de instructies in ons Helpcentrum volgen. We blijven ons inzetten voor gegevensbevrijding, dus als u uw gegevens ergens anders naartoe wilt brengen, is dat mogelijk.

Grondslag aanwezig voor al die combinaties?

Vanuit juridische optiek kan hierover, bij eerste beschouwing, in ieder geval het volgende worden opgemerkt (*). Het combineren van persoonsgegevens is een verwerking van persoonsgegevens in de zin van de Wet bescherming persoonsgegevens. Dit brengt met zich mee dat voor het maken van die combinatie in ieder geval een grondslag in de zin van artikel 8 Wbp aan te wijzen moet zijn.

Het is mij niet helemaal duidelijk op welke grondslag Google zich in haar nieuwe privacystatement beroept. De twee mogelijke grondslagen in dit verband zijn ofwel ondubbelzinnige toestemming (sub a), ofwel het gerechtvaardigd belang van Google (sub f).

Voor wat betreft toestemming geldt dat (samengevat) alleen van geldige toestemming sprake kan zijn als sprake is van informed consent. In de opinie van 13 juli 2011 benadrukken de gezamenlijke privacytoezichthouders onder meer dat de gebruiker moet begrijpen waarvoor hij nu eigenlijk toestemming geeft:

uit de formulering van de toestemming moet duidelijk zijn dat de betrokkene precies op de hoogte is van de reikwijdte en de gevolgen van de gegevensverwerking waarvoor hij zijn toestemming geeft

Het is maar de vraag of de gemiddelde gebruiker van Google zich beseft (a) dat zijn gegevens worden gecombineerd en (b) tot welk een gigantisch profiel dat potentieel kan leiden. Dergelijke profielen kunnen zeer privacygevoelige informatie bevatten, zoals ook de AOL-case in 2006 heeft laten zien. Het is daarmee ook de vraag of van rechtsgeldige toesteming wel sprake kan zijn. Zie in dat kader ook de privacytoezichthouders in voornoemde opinie:

Hoe complexer een gegevensverwerking, hoe meer mag worden geëist van de voor de verwerking verantwoordelijke. Hoe moeilijker het voor de gemiddelde burger wordt om alle elementen van een gegevensverwerking te overzien en begrijpen, hoe groter de inspanningsverplichting voor de voor de verwerking verantwoordelijke zou moeten zijn om aan te tonen dat de toestemming is verkregen op basis van specifieke en begrijpelijke informatie.

Mocht Google zich beroepen op het gerechtvaardigd belang voor het combineren van al deze persoonsgegevens, dan val het volgende op. Een bedrijfsbelang, waaronder een marketingbelang (zoals hier met name speelt), geeft op zichzelf in de regel een gerechtvaardigd belang om persoonsgegevens te verwerken. De vraag is wel of die verwerking voldoet aan eisen van proportionaliteit en subsidiariteit (zie ook de Memorie van Toelichting bij de Wbp). Er zijn, gezien de enorme schaal waarop Google gegevens verzamelt, serieuze vraagtekens bij plaatsen of de verwerking in dit geval aan die eisen voldoet.

De vraag is bovendien ook of de belangen van de betrokkene in een specifieke situatie niet prevaleren. Google heeft na verloop van tijd een (zeer) omvangrijk profiel van iemand opgebouwd. Mogelijk dat alleen al vanwege de omvang van het profiel, al dan niet in combinatie met het feit dat uit onder meer zoekgedrag en gebruiken van andere diensten van Google zeer persoonlijke gegevens zijn te destilleren (waaronder bijvoorbeeld medische gegevens, daarvoor is een mailtje versturen met GMail over een ziekte aan een vriend al voldoende…), moet worden geconcludeerd dat de belangen van de betrokkene bij de betreffende verwerking prevaleren.

Strijd met verkrijgingsdoel? 

Verder kan het volgende worden opgemerkt. Op grond van artikel 9 Wbp mogen persoonsgegevens niet worden gebruikt voor een doeleinde dat onverenigbaar is met het doel waarvoor de gegevens zijn verkregen. Het is onduidelijk of Google vanaf 1 maart 2012 ook in het verleden verzamelde gegevens gaat gebruiken voor het op te stellen profiel. Het ligt wel voor de hand dat Google hiervoor kiest (ze gooit ongetwijfeld niet de data verzameld voor 1 maart 2012 allemaal weg). Dat betekent wel dat kritisch getoetst zal moeten worden of het combineren van de data te verenigen is met het doel waarvoor de gegevens oorspronkelijk verzameld zijn. Dat zal mogelijk verschillen voor de verschillende diensten van Google. Voor dit moment voert het te ver dit nader te analyseren.

Andere opvallende punten

Op grond van de Wbp heeft iedereen inzagerecht: een bedrijf of instelling die persoonsgegevens verwerkt moet binnen 4 weken desgevraagd een volledig overzicht geven van alle verwerkte persoonsgegevens. Ook bestaat het recht te verzoeken gegevens te verwijderen of te corrigeren (het verwijder- en correctierecht is niet absoluut, de verantwoordelijke moet na ontvangst van een dergelijk verzoek een beslissing nemen).

Google merkt hierover het volgende op in het nieuwe privacybeleid:

Wanneer u onze services gebruikt, proberen we u toegang te geven tot uw persoonlijke gegevens. Als die gegevens onjuist zijn, proberen we u te voorzien van manieren om deze gegevens snel bij te werken of te verwijderen, tenzij we die gegevens moeten bewaren voor legitieme zakelijke of juridische doeleinden. Wanneer u uw persoonlijke gegevens bijwerkt, kunnen we u vragen uw identiteit te verifiëren voordat we uw verzoek kunnen verwerken.

Google lijkt hiermee het inzage-, correctie- en verwijderingsrecht te beperken. Volgens Google bestaat er namelijk geen inzagerecht, maar hoeft Google slechts te “proberen” om toegang te geven tot de eigen gegevens. Ook opvallend is dat voor wat betreft het correctie- enverwijderrecht Google lijkt te stellen dat haar belangen altijd voorgaan op die van de betrokkene. Ze geeft immers aan de gegevens te zullen bewaren voor “zakelijke doeleinden”. Wat die doeleinden precies zijn is niet duidelijk, maar het lijkt er op dat hier al haar bedrijfsbelangen mee worden bedoeld (waaronder dus profielen bouwen). 

Tot zover enkele eerste opmerkingen over dit hele actuele nieuws. Volgens nu.nl zijn de eerste kamervragen al gesteld, dus dit wordt ongetwijfeld vervolgd….

(*)NB. Het kader dat ik hier heb geschetst is gebaseerd op de Nederlandse Wet bescherming persoonsgegevens. Uiteraard is de voorvraag of deze Nederlandse wet op (een deel van) de activiteiten van Google van toepassing is en zo ja, in welke mate. Het hier geschetste kader zal in de andere landen van de Europese Unie (als het goed is) echter niet wezenlijk anders zijn, nu alle landen van de Europese Unie hun privacyrecht op de privacyrichtlijn moeten hebben gebaseerd.

Wat was er aan de hand?

SoundSight is een muziekproductiebedrijf dat voor opdrachtgevers diverse muziekstukken componeert. SoundSight beschikt over een database van 10.000 afgewezen voorstellen en wil deze via een webshop online te koop gaan aanbieden. Daarvoor heeft zij een website nodig, een database, een betalingssysteem en hostingdiensten. SoundSight raakt in gesprek met CTA voor het leveren daarvan. CTA brengt een offerte uit, die per e-mail wordt geaccordeerd door SoundSight, althans voor wat betreft het opstarten van het eerste traject (opstellen functionele productspecificaties). CTA gaat vervolgens voortvarend van start en voert alle geoffreerde werkzaamheden uit, ook die geen betrekking hebben op het eerste traject.

SoundSight is echter niet tevreden over het verloop van het project en besluit vlak voor de oplevering van de eerste versie van de website om de overeenkomst te beëindigen. Vast staat verder dat SoundSight de facturen van CTA onbetaald heeft gelaten (op 500 euro na met betrekking tot het eerste traject) en dat SoundSight weliswaar mondeling heeft aangegeven niet tevreden te zijn over het project, maar dat zij nooit een ingebrekestelling heeft gestuurd.

CTA is van mening dat de overeenkomst nooit (rechtsgeldig) is beëindigd en vordert (onder meer) betaling van de openstaande facturen alsmede schadevergoeding. Op haar beurt vordert SoundSight vergoeding voor de door haar geleden schade.

Oordeel van de rechter: Geen ingebrekestelling = geen verzuim CTA = geen ontbinding = SoundSight moet facturen betalen en schade vergoeden

De rechtbank stelt eerst vast wat de inhoud van de overeenkomst was. Was de offerte van 28 juli 2008 volledig aanvaard of alleen maar voor het eerste deel? Aangezien SoundSight geen blijk van enig bezwaar heeft gegeven tegen het uitvoeren van de overige geoffreerde werkzaamheden, oordeelt de rechtbank dat SoundSight impliciet (tevens) haar toestemming had gegeven voor het uitvoeren daarvan. Alleen over de prijs van het database abonnement bestond naar het oordeel van de rechtbank geen overeenstemming. Daarover mogen partijen zich later nog uitaten.

Voor ontbinding is noodzakelijk dat CTA in verzuim is ten aanzien de nakoming van de overeengekomen werkzaamheden of dat het niet meer (blijvend) mogelijk is dat die werkzaamheden nog correct worden nagekomen. De rechtbank oordeelt dat de werkzaamheden nog kunnen worden uitgevoerd (de website kon nog steeds worden opgeleverd) en stelt vast dat CTA ten onrechte niet in gebreke is gesteld. Sound Sight heeft nog geprobeerd om met een beroep op de redelijkheid en billijkheid aan te voeren dat het versturen van een ingebrekestelling niet nodig was. De rechter maakt daar korte metten mee en overweegt dat het versturen van een ingebrekestelling niet nodig is als dit naar maatstaven van redelijkheid en billijkheid onaanvaardbaar is en oordeelt:  “Gelet op de functie van een ingebrekestelling zal niet snel aan dit criterium worden voldaan”.

Nu een ingebrekestelling ontbrak oordeelt de rechtbank dat er geen sprake is van verzuim, dat de overeenkomst daardoor niet is ontbonden en dus nog van kracht is, dat SoundSight ten onrechte de facturen van CTA onbetaald heeft gelaten en veroordeelt SoundSight tot betaling daarvan. Omdat CTA de overeenkomst zelf gedeeltelijk heeft ontbonden, namelijk voor dat deel dan nog niet was uitgevoerd, wordt SoundSight veroordeeld tot betaling van vervangende schadevergoeding. Die schadevergoeding houdt in de voor die werkzaamheden overeengekomen vergoedingen minus de besparingen die CTA heeft genoten als gevolg van het feit dat zij die resterende werkzaamheden niet hoeft te verrichten.

De functie en inhoud van een ingebrekestelling

Deze uitspraak  laat weer eens zien wat het belang van een goede ingebrekestelling is. Als er wel een deugdelijke ingebrekestelling was gestuurd, dan zou deze zaak heel anders kunnen hebben gelopen. Opvallend is dat de rechtbank refereert ook aan de functie van de ingebrekestelling. Wat houdt dit eigenlijk in? Waarom moet u die versturen? Een ingebrekestelling is niet bedoeld om verzuim vast te stellen of te creëren, maar dient om de schuldenaar nog een laatste (reële) kans te geven om deugdelijk te presteren. Doet hij dat niet dan raakt hij in verzuim (zie bijvoorbeeld HR 22 oktober 2004, LJN AO9490).

Wat moet in een ingebrekestelling staan? Op grond van artikel 6:82 BW moet een ingebrekestelling een schriftelijke aanmaning zijn waarin (in beginsel) aan de schuldenaar een redelijke termijn voor de nakoming wordt gesteld. Een redelijke termijn is een redelijke termijn, niet standaard 14 dagen of 30 dagen wat vaak wordt gedacht. Afhankelijk van de situatie kan dit zelfs enkele maanden beslaan of slechts een paar uur. Daarnaast moet ook vermeld worden wat er gebeurt als uw wederpartij niet binnen de gestelde termijn alsnog presteert. Denk in ieder geval aan een aansprakelijkstelling voor uw schade of aan het vooruitzicht dat u dan overgaat tot ontbinding van de overeenkomst. Dit laatste wordt in de praktijk vaak als erg dwingend en dreigend gezien en daarom weggelaten (“We hebben ze nog wel nodig”). U loopt dan wel het risico dat een rechter uw ingebrekestelling onvoldoende acht, met als gevolg dat uw vorderingen die daarop gestoeld zijn, worden afgewezen (zie ook hiervoor).

Moet u altijd een ingebrekestelling versturen? Nee, het versturen van een ingebrekestelling is op grond van de wet (artikel 6:83 BW) niet altijd nodig. Zo hoeft dit bijvoorbeeld niet als er aan fatale leveringstermijn (of betalingstermijn) is afgesproken die wordt overschreden of als uw wederpartij aangeeft dat hij niet meer zal nakomen. Ook bij een onrechtmatige daad of schadeclaim die voortvloeit uit wanprestatie is een ingebrekestelling niet vereist. Maar let op! In veel contracten en algemene voorwaarden staat dat er altijd een ingebrekestelling nodig is voordat u kunt ontbinden en schadevergoeding kunt claimen. Dit gebeurt onder meer in de FENIT en ICT-Office voorwaarden. Dit hoeft niet erg te zijn, maar u moet hier wel op bedacht zijn. Dergelijke afspraken die tussen partijen zijn overeengekomen “overrulen” namelijk het wettelijke systeem.

Gegevens jongere opgenomen in incidentenregister

Een jongeman (in de uitspraak “A” genoemd) had een bankrekening bij de ING met bijbehorende bankpas. Deze bankrekening is door de ING op 28 januari 2011 geblokkeerd naar aanleiding van een verdachte transactie. Ook heeft de ING de betreffende jongen op of rond diezelfde datum opgenomen in zowel een intern als een extern incidentenregister. Het praktische gevolg daarvan is dat hij nauwelijks tot geen financiele producten meer kan afnemen bij de verschillende banken.

18 april 2011 eerste verzoek tot verwijdering gegevens

Namens de jongen wordt door een gemachtigde op 18 april 2011 een brief gestuurd aan de ING met het verzoek de gegevens van de jongen te verwijderen uit het incidentenregister. De brief bevat onder meer de volgende inhoud:

Daarnaast verzoek -en voor zover nog vereist sommeer- ik u cliënt binnen 14 dagen na heden te verwijderen uit het interne- en dan met name ook het externe verwijzingsregister.

15 juni 2011 afwijzing verzoek verwijdering

Na enige correspondentie laat ING uiteindelijk bij brief van 15 juni 2011 weten niet aan dit verzoek te zullen voldoen. ING wijst er ook op dat de  gegevens van de jongen de komende 4 jaar vermeld zullen blijven in het incidentenregister.

3 augustus 2011 herhaald verzoek tot verwijdering

Vervolgens stuurt de gemachtigde op 3 augustus 2011 nogmaals een brief met het verzoek om de persoonsgegevens te verwijderen. In deze brief wordt voor het eerst verwezen naar de Wbp.

23 september 2011 start procedure bij rechtbank

Op 23 september 2011 wordt namens de jongen een verzoekschrift ingediend bij de rechtbank op grond van artikel 46 Wbp. Dit verzoekschrift strekt ertoe dat ING wordt veroordeeld de gegevens uit het incidentenregister te verwijderen.

Verzoekschrift moet binnen zes weken bij rechtbank zijn ingediend

Wanneer een verzoek tot het verwijderen van zijn persoonsgegevens (geheel of gedeeltelijk) door de voor die persoonsgegevensverwerking verantwoordelijke wordt geweigerd, kan de betrokkene naar de rechter middels een zogenaamde verzoekschriftprocedure. Op grond van artikel 46 Wbp moet dit verzoekschrift binnen een bepaalde termijn worden worden ingediend:

1. binnen zes weken na ontvangst van het antwoord van de verantwoordelijke; of
2. indien de verantwoordelijke niet binnen de gestelde termijn heeft geantwoord, binnen zes weken na afloop van die termijn.

De betrokkene kan dus in twee gevallen naar de rechter:

1. wanneer hij het niet eens is met het besluit dat is genomen naar aanleiding van zijn verzoek gegevens te verwijderen; en
2. wanneer in het geheel geen besluit is genomen naar aanleiding van zijn verzoek gegevens te verwijderen.

In beide gevallen moet het verzoekschrift tijdig bij de rechtbank zijn ingediend.

Verzoekschrift in dit geval (dus) te laat ingediend

De rechtbank overweegt dat het verzoekschrift in dit geval te laat is ingediend. Volgens de rechtbank is de termijn van zes weken gaan lopen vanaf 15 juni 2011, de datum waarop ING bij brief expliciet heeft gesteld niet aan het verzoek te zullen voldoen. De rechtbank overweegt als volgt:

In de brief van 15 juni 2011 heeft ING expliciet het verzoek tot verwijdering afgewezen. Alhoewel dit antwoord niet binnen de termijn van vier weken na ontvangst van het verzoek is gegeven, kan de laatste brief van 15 juni 2011 gezien worden als het moment waarop de termijn van zes weken als bedoeld in artikel 46 lid 2 Wbp is gaan lopen.

De rechtbank concludeert (en ik denk terecht) dat het verzoekschrift daarmee voor 27 juli 2011 ingediend had moeten zijn. Nu dat niet is gebeurd, is de jongeman niet ontvankelijk in zijn verzoek. Zijn verzoek wordt dus niet in behandeling genomen en hij wordt veroordeeld in de kosten van de ING.

Beroep op brief met expliciete verwijzing naar Wbp faalt

Tijdens de zitting is namens de jongeman nog betoogd dat de termijn van zes weken niet is aangevangen op 15 juni 2011, maar pas later. Betoogd is dat voor het eerst in de brief van 3 augustus 2011 een beroep is gedaan op de Wbp. Daarmee zou het verzoekschrift op tijd zijn ingediend (er van uitgaande dat in de brief van 3 augustus 2011 weer een termijn van twee weken aan de ING was gesteld).

De rechtbank volgt dit betoog niet:

De brief van 18 april 2011 kan naar het oordeel van de rechtbank niet anders worden gezien dan een ondubbelzinnig verzoek tot verwijdering van de persoonsgegevens zoals bedoeld in artikel 36 Wbp. Dat de Wbp in de brief niet is genoemd maakt dit niet anders, aangezien artikel 36 Wbp dit niet als vereiste stelt.

Deze conclusie van de rechtbank lijkt mij juist en bovendien billijk. Een andersluidend oordeel zou hebben betekend dat van betrokkenen zou kunnen worden gevergd dat zij zich bij een inzage-, correctie of verwijderingsverzoek altijd op specifieke wetsartikelen uit de Wbp beroepen. Dat kan van een betrokkene m.i. niet worden gevergd. Het lijkt mij ook niet passen bij de ratio van de betreffende rechten van de betrokkene.

Aandacht voor termijnen door zowel betrokkene als verantwoordelijke

Het betekent wel dat de betrokkene de relatief korte termijn van zes weken scherp in de gaten dient te houden, mocht hij zijn verzoek middels een gerechtelijke procedure willen kunnen afdwingen. Ook betrekkelijk informele verzoeken aan een verantwoordelijke (voor persoonsgegevensverwerkingen) kunnen er kennelijk toe leiden dat de termijn om een verzoekschrift in te dienen al gaat lopen.

Organisaties die persoonsgegevens verwerken dienen ook bedacht te zijn op de termijnen. Een verzoek van bijvoorbeeld een klant dat betrekking heeft op zijn persoonsgegevens (zoals correctie) kwalificeert waarschijnlijk al snel als een verzoek ex. artikel 36 Wbp, ook als de klant bij dat verzoek in het geheel niet verwijst naar de Wbp. Dat geldt te meer nu kennelijk volgens de rechtbank niet relevant is, zo wordt althans niet overwogen, dat de betrokkene niet voorafgaand aan het correctieverzoek een inzageverzoek ex. artikel 35 Wbp heeft gedaan (zoals de letterlijke tekst van artikel 36 Wbp wel eist). Dat betekent dus ook dat die klant het gegeven antwoord op relatief korte termijn middels een verzoekschrift ter toetsing aan de rechtbank kan voorleggen. De afdeling die de communicatie met klanten en andere betrokkenen verzorgt dient hierop bedacht te zijn.

Dezelfde auteursrechtelijke bescherming wordt door het Hof aangenomen voor de bij de vuurkorven behorende verpakkingen en wikkels. Het Hof oordeelde dat alle drie deze werken los van elkaar moesten worden beoordeeld, en ieder voor zich op dezelfde beschermd zijn.

Auteursrechtinbreuk wordt aangenomen omdat het Hof de vuurkorven en verpakkingen “nagenoeg identiek” oordeelt, en er onvoldoende afstand is genomen met van die van Esschert.

S&S heeft onder meer nog het verweer opgeworpen dat Esschert geen auteursrechthebbende is omdat de vuurkorf door een ander (Roetenberg) is gemaakt. Het Hof oordeelt dat artikel 3.29 BVIE van toepassing is. Daaruit volgt, aldus het Hof, dat omdat Esschert opdracht heeft verstrekt aan Roetenberg de vuurkorf te maken (en er geen andersluidende afspraak is), Esschert automatisch auteursrechthebbende is geworden. Esschert heeft het opdrachtgeversauteursrecht. Het auteursrecht op de vuurkorf (en de verpakking) rust dus wel bij Esschert. Hieraan doet niet af dat de korf niet als model is gedeponeerd, want volgens het Hof is artikel 3.29 BVIE ook van toepassing op niet gedeponeerde modellen.

De rechtbank oordeelde eerder niet tot auteursrechtinbreuk, daar er geen sprake kan zijn van verveelvoudigen omdat sprake is en blijft van één afbeelding en voor ‘canvas transfer’ juist kenmerkend is dat de afbeelding niet wordt vermeerderd. Er is volgens de rechtbank ook geen sprake van een openbaarmaking, omdat de afbeelding niet wordt veranderd, geen nieuwe markt wordt aangesproken (posters en canvas transfers zijn allebei wanddecoratie), en een ‘canvas tranfer’ qua prijs dichtbij een ingelijste poster ligt.

Het Hof benadert de ‘canvas transfers’ beduidend anders. Het Hof oordeelt dat er een nieuwe openbaarmaking is indien het door de rechthebbende in het verkeer gebrachte exemplaar in een andere vorm onder het publiek wordt verspreid, leidend tot nieuwe exploitatiemogelijkheden. Het Hof oordeelt hierover het volgende.

Tijdens de ‘canvas transfer’ wordt de papieren poster vervangen door een afbeelding op een canvasdoek op een houten frame. De ‘canvas transfer’ heeft een wezenlijk andere toestand en krijgt ook een ander uiterlijk dan de poster, vanwege de zichtbare canvas achtergrond en het matte aanzien. De kleur van de ‘canvas transfer’ heeft ook een ander aanzien dan die van de poster.

Het Hof vergelijkt daarnaast de prijs van de poster (niet de ingelijste poster) met die van de ‘canvas transfer’. Allposters kan met haar ‘canvas transfers’ een nieuw publiek bereiken, namelijk consumenten die meer geld willen uitgeven om een ander product aan de muur te hebben dan een poster (de ‘canvas transfer’ is duurder). Allposters verschaft zich dus een nieuwe exploitatiemogelijkheid.

Het beroep op het uitputtingsbeginsel is niet aan de orde. Dit beginsel houdt in dat wanneer een exempaar van het werk (de oorspronkelijke poster) door of met toestemming van de auteursrechthebbende in Europese Unie c.q. de Europese Economische Ruimte in het verkeer gebracht door eigendomsoverdracht, dan op grond van art. 12b van de Auteurswet de verdere verspreiding binnen de EU/EER vrij is. Echter, omdat reeds sprake is van auteursrechtinbreuk gaat dit beroep op uitputting niet op, aldus het Hof. Uitputting treedt niet op wanneer het gaat om verdere verspreiding van een exempaar van het werk dat een ingrijpende wijziging heeft ondergaan, zoals hier het geval is.

Kortom, de verhandeling van ‘canvas transfers’ levert een verboden openbaarmakingshandeling op. Allposters dient het aanbieden van ‘canvas transfers’ te staken, onder meer rekening en verantwoording af te leggen en moet de schade die de rechthebbende hebben geleden vergoeden.

Een belangrijke eis is dat degene die gereviseerde waren verhandelt, bij die verhandeling alles doet wat redelijkerwijs mogelijk is om duidelijk te maken dat het niet gaat om onder controle van de merkhouder gereviseerde waren. Aan die eis werd niet voldaan door Wijnmalen, aldus de rechtbank:

‘Wijnmaalen vermeldt niet bij of op de door haar gerepareerde pallets dat het niet om oorspronkelijke waren gaat maar om (door haar) gerepareerde waren noch brengt Wijnmalen op of bij de door haar gerepareerde pallets tekens aan die dit duidelijk maken.’

Hoewel het voor Wijnmalen mogelijk is het merk weg te lakken, deed zij dit niet. De rechtbank overweegt dat onder deze omstandigheden bij afnemers de onjuiste indruk kan worden gewekt dat er een economische band bestaat tussen de merkhouder en Wijnmalen, meer in het bijzonder de indruk dat Wijnmalen tot het distributienet van de merkhouder behoort of daarbij als licentienemer/reparateur is aangesloten of dat er een andere bijzondere band is.

Daar komt bij dat gerepareerde pallets later bij anderen dan de afnemers van Wijnmalen terecht kunnen komen die niet kunnen weten dat het om (door Wijnmalen) gerepareerde pallets gaat, waardoor de reputatie van het EPAL-merk in het geding kan komen.

Kort gezegd is aldus sprake van merkinbreuk, in dit geval op het collectieve Gemeenschapsmerk EPAL. Wijnmalen wordt daarom met name veroordeeld de verhandeling van gerepareerde EPAL-pallets te staken en informatie bekend te maken over zijn handelwijze.

Donderdag 16 februari 2012 – Seminar Adwords: wat mag wel en wat mag niet? Meer informatie

Dinsdag 13 maart 2012 – Seminar IT-geschillen. Meer informatie

Woensdag 4 april 2012 – De licentielunch: “tips & tricks” opgediend. Meer informatie

Donderdag 10 mei 2012 – Seminar cloudcomputing. Meer informatie

Donderdag 7 juni 2012 – Seminar Auteursrecht voor ondernemers. Meer informatie

Woensdag 20 juni 2012 – SLA-Lunch. Meer informatie

Tijd en locatie
Tenzij anders aangegeven zijn de bijeenkomsten van 14.00 uur tot 17.00 uur en worden ze afgesloten met een borrel. De bijeenkomsten vinden allen plaats in ons kantoor Arnhem aan de Velperweg 1. Ze zijn gratis voor cliënten van Dirkzwager. De kosten voor niet-cliënten bedragen € 175,– exclusief BTW.

Aanmelden
U kunt zich nu al vast aanmelden via onze website op de centrale aanmeldpagina of telefonisch 026 – 353 83 77/23. Mocht u anderen willen uitnodigen of interesseren om ook naar één of meer van deze bijeenkomsten te komen dan stellen wij dat zeer op prijs.

Wij ontvangen u graag op één of meer van de bijeenkomsten.

Met vriendelijke groet,
Dirkzwager advocaten & notarissen N.V.

Advocaten van de sectie Intellectuele Eigendom en IT-Recht

Jaap Kronenberg
Theo Bosboom
Ernst-Jan van de Pas
Joost Becker
Mark Jansen
Lot Nelissen

De procedure loopt alweer enige tijd. Op 28 juni 2010 heeft Brein Ziggo en XS4ALL gedagvaard en (samengevat) gevorderd dat deze providers veroordeeld moeten worden om de toegang tot the Pirate Bay voor haar abonnees onmogelijk te maken. Na het wisselen van allerlei stukken heeft uiteindelijk op 11 november 2011 pleidooi in de zaak plaatsgevonden. Vervolgens is op 11 januari 2012 het vonnis gewezen.

Het vonnis van de rechtbank is uitvoerig gemotiveerd. Alle denkbare argumenten voor en verweren tegen het gevraagde verbod lijken aan de orde te zijn geweest. Deze zal ik in dit bericht niet allemaal behandelen, hiervoor verwijs ik graag naar de uitspraak.

Portal voor downloaden torrents

De uitspraak komt in de kern op het volgende neer. Op de website the Pirate Bay staan zogenaamde torrents gepubliceerd. Dit zijn (kleine) bestanden die (technische) informatie bevatten waarmee computergebruiker die beschikken over een BitTorrent-programma bestanden kunnen downloaden (zoals films, muziek en software). De bestanden die worden gedownload staan op de computer van andere BitTorrent-gebruikers. Iedere BitTorrent-gebruiker biedt, in beginsel, de bestanden die hij downloadt zelf ook weer (ter upload) aan andere BitTorrent-gebruikers aan.

Rechtbank: providers tussenpersoon bij inbreuk rechten door abonnees

Tussen partijen is niet in geschil dat uploaden van illegaal materiaal door gebruikers van The Pirate Bay naar Nederlands recht inbreuk maakt op de auteursrechten en naburige rechten van de rechthebbenden. De vraag is vervolgens of Ziggo en XS4ALL als provider zijn aan te merken als “tussenpersoon” bij die inbreuk op die rechten (als bedoeld in de artikelen 26d Auteurswet en 15e Wet op de naburige rechten). De rechtbank oordeelt dat dit het geval is.

Gevorderde gebod voldoet aan eisen van subsidiariteit

Vervolgens is de vraag of het door Brein gevorderde gebod voldoet aan de eisen van proportionaliteit en subsidiariteit. Er moet met andere woorden een weging gemaakt worden tussen de belangen van de providers (en hun abonnees) en Brein (en de daarbij aangesloten rechthebbenden). Een vordering die disproportioneel is of niet voldoet aan eisen van subsidiariteit mag namelijk niet worden toegewezen (zie in dat kader onder meer het arrest Scarlet/Sabam).

De rechtbank toetst eerst aan de eisen van subsidiariteit (“kan hetzelfde doel ook op minder ingrijpende wijze worden bereikt?”). In het kader van die belangenafweging komen allerlei argumenten naar voren. Brein wijst er op dat al op andere manieren is geprobeerd the Pirate Bay tot stoppen te dwingen. The Pirate Bay negeert echter diverse rechterlijke uitspraken, vandaar dat Brein zich genoodzaakt ziet zich tot de providers te wenden. Ook het aanpakken van de uploaders zelf blijkt erg lastig, nu providers weigeren de NAW-gegevens af te geven. Bovendien wijst Brein er op dat op the Pirate Bay nauwelijks legaal aanbod is te vinden.

Naar mijn idee is de volgende overweging van de rechtbank, voor wat betreft de subsidiariteit, een van de kernoverwegingen bij deze belangenafweging:

4.28.  Onder de gegeven omstandigheden dient de belangenafweging naar het oordeel van de rechtbank in het voordeel van de rechthebbenden uit te vallen. Dat het merendeel van de abonnees van Ziggo en XS4ALL (thans) niet filesharen via The Pirate Bay en dus geen inbreuk maken op de rechten van de rechthebbenden terwijl zij toch worden getroffen door een blokkade, zoals Ziggo en XS4ALL op zich terecht stellen, leidt niet tot een ander oordeel. Voor zover die abonnees van plan waren om via The Pirate Bay illegaal materiaal te gaan uitwisselen en daarbij inbreuk te maken, is dat geen rechtens te respecteren belang. Voor zover zij voornemens waren om The Pirate Bay te bezoeken zonder inbreuk te maken, is hun belang beperkt, gegeven het marginale legale aanbod en de mogelijkheid om via andere websites kennis te nemen van dat legale aanbod. Dat beperkte belang weegt niet op tegen de bescherming van de partijen die bij Brein zijn aangesloten tegen de in aantal omvangrijke inbreuken op hun rechten via The Pirate Bay die door toewijzing van de blokkade kunnen worden voorkomen. Daarbij neemt de rechtbank voorts in aanmerking dat het gaat om het blokkeren van de toegang naar een website waarvan de beheerders door de rechtbank Amsterdam reeds zijn veroordeeld om die website – derhalve met inbegrip van de daarop aangeboden legale content – ontoegankelijk te maken (zie het vonnis van 16 juni 2010).

Gevorderde gebod voldoet aan eisen van proportionaliteit

De rechtbank toetst ook of het gevorderde gebod voldoet aan de eisen van proportionaliteit. De providers voeren in dat kader aan dat het doorvoeren van de gevorderde maatregelen grote technische risico’s met zich brengt. Brein stelt daar, onderbouwd met bewijs, echter tegenover dat in het buitenland al succesvol blokkades zijn toegepast. Daaruit blijkt bovendien dat dit hooguit tot hele kortstondige uitval van de dienstverlening hoeft te leiden. De rechter gaat mee in die stellingen van Brein.

De providers voeren verder aan dat de maatregelen niet proportioneel zijn omdat ze zullen worden omzeild. De rechtbank overweegt dat er ongetwijfeld abonnees zijn die de blokkade weten te omzeilen, maar dat dit op zichzelf het gevraagde gebod nog niet disproportioneel maakt. Daarbij telt ook mee dat in het buitenland is gebleken dat een blokkade wel degelijk een effectieve maatregel blijkt te zijn.

Het gevraagde gebod stuit dus niet af op de eisen van proportionaliteit.

Abonnees Ziggo en XS4ALL kunnen the Pirate Bay straks niet meer bezoeken

Na behandeling van nog enkele andere verweren (die ik in dit bericht onbesproken laat), komt de rechtbank dan ook tot het oordeel dat het gevraagde verbod toegewezen kan worden. Ziggo en XS4ALL worden bevolen om, binnen 10 werkdagen na betekening van het vonnis, enkele specifieke domeinnamen en IP-adressen van The Pirate Bay te blokkeren. Ook worden de providers bevolen om, mocht the Pirate Bay vanaf andere (IP-)adressen gaan opereren, steeds binnen 10 werkdagen nadat Brein de providers hiervan op de hoogte heeft gesteld ook die andere (IP-)adressen van the Pirate Bay te blokkeren.

Met andere woorden: binnen twee weken na betekening van het vonnis zal the Pirate Bay in beginsel niet meer te bezoeken zijn voor abonnees van Ziggo en XS4ALL (behoudens toepassing van technische truukjes). Brein heeft bovendien een heel effectief middel in handen om ieder nieuw (IP-)adres van the Pirate Bay binnen twee weken ontoegankelijk te maken voor abonnees van deze providers.

Wordt ongetwijfeld vervolgd….

Het roept wel de vraag op wat er gebeurt wanneer the Pirate Bay haar site van naam verandert of wanneer de mensen achter de huidige site een nieuwe site beginnen voor de uitwisseling van torrents. Het huidige gebod ziet specifiek op the Pirate Bay. Het lijkt er dus op dat Brein niet naar believen (IP-)adressen ter blokkade aan de providers kan aanleveren. Steeds zal getoetst moeten worden of het door Brein aangeleverde (IP-)adres wel een adres van the Pirate Bay is. Zo niet, dan zal opnieuw de gang naar de rechter moeten worden gemaakt. Dit zal ongetwijfeld nog wel de nodige discussie tussen partijen opleveren.

Ook om andere redenen zou het me niets verbazen wanneer deze uitspraak zal leiden tot vervolgprocedures (hoger beroep en executiegeschillen). Deze uitspraak raakt de kern van de dienstverlening van providers. Ik kan me goed voorstellen dat dit voor hen (sterk) meeweegt bij de afweging om in hoger beroep te gaan.

Voor Brein is een mogelijk belang van hoger beroep gelegen in de proceskosten. De rechtbank overweegt dat het wetsartikel op grond waarvan Brein in beginsel recht heeft op vergoeding van haar volledige kosten (€ 148.262,44) van toepassing is. Vervolgens matigt de rechtbank deze kosten echter tot het normale liquidatietarief (€ 2.218,78) omdat Ziggo en XS4ALL geen verwijt treft van de inbreuk door haar abonnees. Mogelijk dat Brein die matiging in hoger beroep aan de orde wil stellen.

Adwords-reclame is niet meer weg te denken van het internet. Sinds de opkomst van zoekmachines is aan nagenoeg elke zoekterm online reclame gekoppeld. Deze wijze van adverteren is in beginsel toegestaan, maar niet indien daardoor inbreuk wordt gemaakt op een merk- of handelsnaamrecht. Waar ligt precies de grens? Wat mag wel en wat mag niet?

De opmars van Adwords

Over adwords verscheen in korte tijd zeer veel rechtspraak uit Europa. Daarin worden nieuwe regels gesteld voor het gebruik van merken in de verhouding tussen concurrenten, leveranciers en wederverkopers. Wij maken de regels voor u inzichtelijk en leggen deze uit. Wij gaan daarbij in op rechtspraak over Adwords-reclame uit binnen- en buitenland.

Mag de concurrent uw naam gebruiken?

Aan de hand van concrete praktijkvoorbeelden geven wij aan of en zo ja wanneer de concurrent uw naam mag gebruiken, en -omgekeerd- of en zo ja wanneer u de naam van uw concurrent mag gebruiken. Daarbij wordt de in de Adwords-reclame gestelde tekst en lay-out, en overige informatie uit de reclame geanalyseerd. Wij behandelen daarbij de Adwords-reclames die volgens de rechtspraak wel en niet door de beugel kunnen.

Gevolgen

De nieuwe regels omtrent Adwords hebben gevolgen voor de inrichting van Adwords campagnes voor merk- en handelsnaamhouders, hun concurrenten en wederverkopers van bepaalde producten en diensten. Deze regels hebben ook gevolgen voor andere vormen van reclame, bijvoorbeeld reclame voor producten op online marktplaatsen, en voor wederverkoopcontracten. Wij behandelen de belangrijkste gevolgen.

Praktische tips

Tijdens het seminar ontvangt u van Dirkzwager praktische tips over de inrichting van uw Adwords-reclame, en de bestrijding van Adwords-reclame van derden.

Voor wie?

Alle ondernemers die producten en/of diensten in de breedste zin des woords verkopen en daarvoor reclame maken op internet, in het bijzonder via zoekmachines. Het seminar is ook bestemd voor merkhouders, handelsnaamhouders, online distributeurs, webshops en wederverkopers van (merk-)producten.

Programma

14.00 uur: Ontvangst met koffie en thee

14.30 uur: 1e deel: Inleiding Adwords: hoe werkt het en wat zegt de rechtspraak?

15.15 uur: Pauze

15.30 uur: 2e deel: Adwords tips: waar liggen de juridische kansen en risico’s en wat zijn de gevolgen?

16.15 uur: Aangeklede borrel

Kijk op de centrale aanmeldpagina u aan te melden.

De kosten voor deze workshop bedragen € 175,= exclusief BTW voor niet-cliënten van Dirkzwager. Voor cliënten van Dirkzwager is deelname aan dit seminar is geheel kosteloos.

Neem voor vragen of inlichtingen met betrekking tot dit seminar contact op met Marlies Seubring: telefoon: 026-353 83 77 / ieit@dirkzwager.nl.

De regels op grond waarvan overdracht van de domeinnaam in de UDRP procedure bevolen kan worden zijn:
1. De domeinnaam is identiek of lijkt verwarrend veel op een merk of naam van de klager; en
2. De domeinnaam houder heeft geen rechten of legitieme belangen met betrekking tot de domeinnaam; en
3. De domeinnaam is te kwader trouw geregistreerd en wordt te kwader trouw gebruikt.

Casus
Het welbekende Lego (van de bouwsteentjes) kwam in deze UDRP procedure op tegen de registratie en het gebruik van de domeinnaam legoverhuur.com door een Nederlandse partij (hierna te noemen ‘verweerder’). De domeinnaam is al sinds 2003 in gebruik bij verweerder. Sinds 2008 linkt de domeinnaam legoverhuur.com door naar de eigen website van de verweerder blokxs.nl. Op de website onder de domeinnaam legoverhuur.com worden legoblokjes te huur aangeboden.

Het panel oordeelt ten aanzien van de hiervoor genoemde punten als volgt:

Ad 1: Domeinnaam lijkt verwarrend veel op de merken van Lego
Lego heeft voldoende aangetoond dat het merkrechten bezit en dat de omstreden domeinnaam verwarrend veel lijkt op deze rechten. Het woord LEGO is in de domeinnaam het meest onderscheidende gedeelte. Bovendien is dit een zeer bekend en beroemd merk, aldus het panel. De toevoeging van de beschrijvende term ‘verhuur’ neemt niet de mogelijkheid van associatie tussen de domeinnaam en het LEGO-merk weg. Integendeel, het versterkt de associatie alleen maar, aldus het panel. 

Ad 2: De domeinnaamhouder heeft legitieme belangen met betrekking tot de domeinnaam
Op het tweede punt gaat het voor Lego mis. Lego stelt dat zij geen licentie of anderszins toestemming heeft gegeven om de domeinnaam te registreren. De verhuurder van Lego blokjes is geen erkende dealer van Lego producten en heeft nooit een zakelijke relatie met Lego gehad. Dat is al voldoende volgens Lego om geen legitiem gebruik van de domeinnaam te kunnen maken.

Verweerder heeft gewezen op de voorgeschiedenis van partijen. Partijen hebben al in 2003 en 2008 met elkaar over het gebruik van de domeinnaam gecorrespondeerd. Verweerder heeft destijds het gebruik van het logo van Lego gestaakt en de website doorgelinkt naar haar eigen website blokxs.nl.

Vervolgens merkt het Panel op dat een reseller of distributeur onder omstandigheden gerechtvaardigd bepaalde producten en diensten kan aanbieden waarbij zij ook een legitiem belang kan hebben bij de domeinnaam waarin een merk van een ander voorkomt. Een dergelijke omstandigheid kan zich voordoen wanneer een reseller of distributeur een actueel aanbod van goederen en diensten doet, gebruik maakt van de domeinnaam om alleen de onder het merk gevoerde producten te verkopen en op de site nauwkeurig en prominent de precieze relatie met de merkhouder openbaar maakt (dus ook als er geen relatie bestaat).

Ondanks dat niet duidelijk is of op de website van verweerder in casu een uitdrukkelijke disclaimer van enige verband tussen Lego en haarzelf bestaat, wordt geoordeeld dat verweerder voldoet aan voorgenoemde omstandigheden en daardoor legitiem gebruik maakt van de domeinnaam. Het panel beslist namelijk dat een redelijke kijker van de website niet zal denken dat het met de officiële website van Lego te maken heeft. Daarbij is onder meer van belang dat verweerder op haar website geen gebruik maakt van het LEGO-logo of anderszins onterecht suggereert een band met de merkhouder te hebben, of suggereert dat de website een officiële website is.

Lego heeft daarom gefaald vast te stellen dat verweerder geen recht of legitiem belang heeft bij de betwiste domeinnaam.

Ad 3: Geen sprake van kwader trouw gebruik van de domeinnaam
Gezien het voorstaande is er ook geen sprake van gebruik te kwader trouw van de domeinnaam door verweerder.

De vordering tot overdracht van de domeinnaam wordt afgewezen.

Volgens de ICANN (de overkoepelende instantie die gaat over alle gTLDs) biedt deze nieuwe structuur allerlei nieuwe mogelijkheden en kansen. Zo kunnen merkhouders bijvoorbeeld hun merk als top level domain registeren, denk bijvoorbeeld aan “www.iphone.apple” of  “www.windows.microsoft”. Ook andere woorden kunnen hiervoor worden gebruikt, zoals .uitgevers.

De vraag is evenwel of merkhouders hier op zitten te wachten. Worden ze hierdoor niet weer (net als in het verleden) op kosten gejaagd om te voorkomen dat anderen er met hun merk aan de haal gaat, zoals wordt gevreesd? En wat is eigenlijk het voordeel hiervan ten opzichte van de bestaande .com domeinnamen? Toch is niet iedereen sceptisch. Zo heeft de Vlaamse regering kennelijk al laten weten geïnteresseerd te zijn in de registratie van .vlaanderen. De Schotse overheid wil .scot invoeren. Ook ons eigen Friesland denkt na over een eigen domeinnaamextensie.

De vraag is of het erg hard zal gaan met deze procedure. De aanvraagprocedure komt er namelijk op neer dat organisaties zelf als domain name registry zullen gaan fungeren, oftewel als uitgever van lagere domeinnamen te vergelijken met bijvoorbeeld de SIDN, de registry van de .nl domeinnaam. Apple zou na het verkrijgen van .apple bijvoorbeeld kunnen beslissen wie allemaal de TLD .apple mogen gaan gebruiken. Daarvoor zullen dergelijke organisaties wel moeten voldoen aan allerlei technische eisen zodat de desbetreffende domeinen operationeel zijn en blijven. Dit is dus totaal andere kost dan eerdere lanceringen van nieuwe gTLDs zoals de .info en .biz TLD’s. Daar werd door de ICANN de meeste aandacht gegeven aan de mogelijkheid voor bedrijven en instellingen om zogenaamde second level domeinnamen te registeren (zoals apple.info of microsoft.biz), nadat zij eerder al een registry had aangewezen.

Goedkoop is het ook niet: $185.000 voor alleen de validatie van de aanvraag. Dit bedrag kan nog hoger worden afhankelijk van de specifieke procedures, nog los van alle investeringen in techniek, organisatie en beveiliging. Hoe de procedure precies verloopt, is terug te lezen op de website van ICANN.

Ik ben benieuwd of dit inderdaad de next big.thing wordt, zoals de ICANN meent, of dat mensen hun schouders gaan ophalen en denken: “Nieuwe domeinnaamextensies? Big.deal…” We zullen het zien.

Dagvaarden van een interpublicist in ander land

Het arrest van het Hof van Justitie betreft twee zaken die samengevoegd zijn: (1) een zaak van ene X uit Duitsland tegen eDate Advertising GmbH uit Oostenrijk en (2) een zaak van Olivier en Robert Martinez uit Frankrijk tegen MGN Limited uit Engeland. Beide zaken komen in de kern op hetzelfde neer. Zowel eDate Advertising als MGN, gedaagden in de twee procedures, exploiteren een website, respectievelijk www.rainbow.at en www.sundaymirror.co.uk. Op die websites heeft een artikel gestaan dat volgens de eisers in de respectievelijke procedures onrechtmatig was.

Zowel X als de heren Martinez hebben de rechtszaak aanhangig gemaakt in hun eigen land (respectievelijk Duitsland en Frankrijk), terwijl de gedaagde partij in een ander land gevestigd is (respectievelijk Oostenrijk en Engeland). In zowel de Duitse als de Franse procedure komt daarbij de vraag aan de orde of de rechters wel bevoegd zijn te oordelen over deze kwestie. De publicatie is immers in een ander land uitgegeven. Deze vraag komt voor bij het Hof van Justitie.

Bestaande regels over grensoverschrijdende onrechtmatige publicaties

Grensoverschrijdende geschillen doen zich natuurlijk al jaren voor. Er bestaan dan ook in EU-verband afspraken over welke rechter bevoegd is om over het geschil te oordelen. Op grond van artikel 5 lid 3 van de Brussel I verordening kan iemand in het geval van een onrechtmatige daad (zoals een onrechtmatige publicatie) worden gedagvaard “voor het gerecht van de plaats waar het schadebrengende feit zich heeft voorgedaan of zich kan voordoen“. In het Shevill-arrest uit 1995 heeft het Hof van Justitie al geoordeeld dat onder die plaats zowel de plaats waar de schade is veroorzaakt als waar de schade is ingetreden mag worden verstaan.  Dat maakt bij grensoverschrijdende publicaties dus twee (of nog meer) rechters bevoegd om over de zaak te oordelen. Vandaar dat ook toen ook is geoordeeld dat niet overal dezelfde schadevergoeding kan worden gevorderd:

• bij de rechter in het land van vestiging van de uitgever van de onrechtmatige publicatie kan vergoeding van de gehele schade worden gevorderd; of
• bij de rechter in alle andere landen (van de EU) kan vergoeding van de in dat land door de onrechtmatige publicatie geleden schade worden gevorderd.

Bestaande regels sluiten niet goed aan bij internetpublicaties

Deze regels werken redelijk goed en overzichtelijk bij papieren publicaties. Daarbij is immers (in de regel) redelijk goed in beeld in welke landen de betreffende publicatie is uitgegeven. Bij internetpublicaties is van uitgifte in bepaalde landen echter geen sprake, daar zijn artikelen (behoudens maatregelen als IP-blokkering) in beginsel overal tegelijk en voor iedereen toegankelijk. Ook is het bij internetpublicaties lastig vast te stellen wat de impact van een bepaalde publicatie is. In de papieren wereld kan bij de berekening van de schadevergoeding nog worden gewerkt met een bepaald bedrag maal de oplage, maar dergelijke (onafhankelijke en betrouwbare) cijfers zijn bij internetpublicaties vaak niet voorhanden.

Bij internetpublicaties volledige schadevergoeding eisen bij eigen lokale rechter

Vandaar dat het Hof van Justitie met een nieuwe, aanvullende, regel komt voor de rechterlijke bevoegdheid bij internetpublicaties. Die regel komt hier op neer: de rechter in de woonplaats van het slachtoffer van de publicaties is bevoegd om te oordelen over de gehele schade. Volledigheidshalve de (iets meer genuanceerde) woorden van het Hof van Justitie:

48. De in punt 42 van het onderhavige arrest in herinnering gebrachte aanknopingscriteria moeten dan ook worden aangepast in die zin dat het slachtoffer van de schending van een persoonlijkheidsrecht via internet zich, afhankelijk van de plaats waar de in de Europese Unie door die schending berokkende schade intreedt, voor de volledige schade tot een gerecht kan wenden. Aangezien de gevolgen van een op internet geplaatste content voor de persoonlijkheidsrechten van een persoon het best kunnen worden beoordeeld door het gerecht van de plaats waar het beweerde slachtoffer het centrum van zijn belangen heeft, beantwoordt het aan het in punt 40 van het onderhavige arrest in herinnering gebrachte doel van een goede rechtsbedeling, aan dat gerecht bevoegdheid toe te kennen.

49. De plaats waar een persoon het centrum van zijn belangen heeft is meestal zijn gewone verblijfplaats. Een persoon kan het centrum van zijn belangen echter ook hebben in een andere lidstaat waar hij niet gewoonlijk verblijft, voor zover uit andere aanwijzingen, zoals de uitoefening van een beroepsactiviteit, kan blijken dat hij een bijzonder nauwe band met die staat heeft.

Het Hof van Justitie draait hiermee de bestaande regels voor sommige gevallen zelfs helemaal om. Voorheen kon bij vanuit het buitenland op het internet gepubliceerde publicaties alleen vergoeding van de in het eigen land geleden schade voor de eigen rechter worden gevorderd (zie hiervoor). Nu is die eigen lokale rechter bevoegd om te oordelen over de vergoeding van de gehele schade.

Overigens gelden de oude regels ook nog steeds, de nieuwe regel werkt aanvullend. Dus nu geldt het volgende bij vergoeding van schade bij internetpublicaties:

• vergoeding van de gehele schade kan worden gevorderd
  • bij de rechter in het land van vestiging van de uitgever van de onrechtmatige publicatie;
  • bij de rechter in het land waar het slachtoffer zijn centrum van belangen heeft (normaliter: zijn woonplaats);
• bij de rechter in alle andere landen (van de EU) kan vergoeding van de in dat land door de onrechtmatige publicatie geleden schade worden gevorderd.

Internetondernemer echter niet gebonden aan strengere regels dan in vestigingsland

Het meest opmerkelijke (voor juristen althans) uit het arrest is wellicht nog wel het antwoord van het Hof dat op de derde vraag van de Duitse rechter wordt gegeven. In die derde vraag komt de eCommerce-richtlijn aan de orde. Dat is de richtlijn die, kort samengevat, de regels heeft geharmoniseerd die gelden voor aanbieders van online diensten in de Europese Unie.

De Duitse rechter wilde van het Hof van Justitie weten of die richtlijn ook regels geeft over het toepasselijke recht. De Duitse rechter stond immers niet alleen voor de vraag of hij wel bevoegd was (zie hiervoor), maar ook welk recht (Duits of Oostenrijks) hij dan vervolgens moest toepassen bij de vraag of de betreffende publicatie onrechtmatig was.

Het Hof van Justitie gaat uitvoerig in op deze vraag. In de beantwoording wordt benadrukt dat het doel van de eCommerce-richtlijn is dat allerlei belemmeringen voor aanbieders van online diensten worden weggenomen, zodat de interne markt goed functioneert. Onder die interne markt wordt de gehele Europese Unie verstaan (nationale grenzen moeten als het ware worden weggedacht). Volgens het Hof van Justitie is er met de eCommerce-richtlijn binnen die interne markt voor wat betreft eCommerce een “gecoordineerd gebied” ontstaan. Dat wil zoveel zeggen dat online dienstverleners in alle landen aan dezelfde regels moeten voldoen en dat lidstaten buitenlandse dienstverleners, die aan die regels voldoen, niet mogen weigeren.

Daar volgt volgens het Hof van Justitie uit dat een online aanbieder die in zijn thuisland aan de regels uit de eCommerce-richtlijn voldoet, niet in het buitenland opeens aan strengere eisen kan worden onderworpen. Of in de woorden van het Hof (de 2e zin):

68. Gelet op het voorgaande moet op de derde vraag in zaak C‑509/09 worden geantwoord dat artikel 3 van de richtlijn aldus moet worden uitgelegd dat het geen omzetting in de vorm van een specifieke conflictregel verlangt. De lidstaten moeten echter, behoudens de volgens de voorwaarden van artikel 3, lid 4, van de richtlijn toegestane afwijkingen, op het gecoördineerde gebied waarborgen dat de verlener van een dienst van de elektronische handel niet wordt onderworpen aan strengere eisen dan die voorzien in het in de lidstaat van vestiging van die dienstverlener toepasselijke materiële recht.

Welke consequenties dit oordeel precies heeft, is nog niet helemaal te overzien. Het lijkt er echter sterk op dat dit zo moet worden gelezen als dat een internetondernemer niet door een rechter in een ander EU-land aan strengere eisen mag worden onderworpen dan die gelden in zijn thuisland.

Toegepast op de rechtszaken die tot dit arrest hebben geleid lijkt het er op dat de rechter het volgende stappenplan moet aflopen bij (beweerdelijk) onrechtmatige internetpublicaties, voordat de rechter uberhaupt toekomt aan de inhoudelijke vraag of de betreffende publicatie onrechtmatig is:

• Rechter bevoegd? Ja, en wel voor de gehele schade of juist alleen de in het vestigingsland van de rechter geleden schade (zie hiervoor);
• Welk recht toepasselijk? Toetsen aan de hand van de zogenaamde Rome II verordening (hetgeen overigens bij grensoverschrijdende publicaties nog niet zo eenvoudig is);
• Aanvullende eis: criteria van dat toepasselijke recht eventueel “afzwakken” tot criteria uit het recht van vestiging van internetondernemer.

Dat vergt in praktische zin bij grensoverschrijdende kwesties over internetpublicaties dat altijd vooraf wordt onderzocht of het recht van de plaats van vestiging van de internetondernemer andere eisen stelt aan onrechtmatige publicaties dan het recht dat op grond van de Rome II verordening van toepassing is op de betreffende publicatie. Zolang de verschillende rechtstelsels voor wat betreft het leerstuk van onrechtmatige daad nog niet geharmonsieerd zijn, is immers denkbaar dat er (grote) verschillen hieromtrent bestaan. Het is afwachten hoe toepassing van deze regel zich in de praktijk zal ontwikkelen.

Overname gegevens uit wateralmanak ANWB

De ANWB geeft al sinds 1912 een wateralmanak uit, met daarin onder meer opgenomen een overzicht van watersportvoorzieningen.

Het bedrijf Multifocus exploiteert de website www.gekopwater.nl en een daarbij horende App. Via die website en die App is onder meer informatie over 906 jachthavens te vinden. ANWB stelt dat Multifocus de gegevens voor die website en App heeft overgenomen uit haar wateralmanak en dat Multifocus daarmee haar databankenrecht schendt.

Weinig databankrechtelijke procedures

Over het databankenrecht wordt niet zo veel geprocedeerd. Er zijn dan ook nog vele onduidelijkheden over het rechtsgebied (zie in dat kader bijvoorbeeld ook mijn artikel van dit voorjaar). Deze uitspraak brengt, helaas, niet veel helderheid. Dat heeft er met name mee te maken dat diverse stellingen in de procedure niet of onvoldoende worden betwist.

Gegevens nog wel steeds beschermd?

Voor het verkrijgen van bescherming op grond van de Databankenwet is vereist dat er sprake is geweest van een “substantiele investering” in de betreffende databank. Diverse databankrechtelijke procedures stranden alleen al op deze eis.

In het geschil tussen de ANWB en Multifocus heeft Multifocus, in de woorden van de rechtbank, echter “uitdrukkelijk erkend dat de verzameling en controle van gegevens over jachthavens substantiële investeringen vergt“. Dat de in de wateralmanak opgenomen verzameling van gegevens over jachthavens ook aan de overige eisen van een databank voldoet is ook niet bestreden. Wat in een procedure niet wordt bestreden, of zelfs uitdrukkelijk wordt erkend, staat tussen partijen vast. De rechtbank hoeft zich daarmee ook niet te buigen over de vraag (1) welke investeringen in de database wel en niet mogen meetellen en (2) of dat geheel aan gepleegde investeringen voldoende substantieel is.

Het is de vraag of de procedure een andere uitkomst zou hebben gehad wanneer de databankrechtelijke bescherming uitdrukkelijk zou zijn betwist. De feiten bieden onvoldoende aanknopingspunten om hier stevige conclusies aan te kunnen verbinden. Opvallend is wel dat de wateralmanak kennelijk al sinds 1912 wordt uitgegeven. De beschermingsduur van een dergelijk oude gegevensverzamaling is in beginsel al lang verlopen, tenzij (kort samengevat) wordt aangetoond dat met het up-to-date houden van die verzameling een substantiele investering is gemoeid geweest waardoor een nieuwe beschermingsduur van 15 jaar is beginnen te lopen (zie in dat kader ook artikel III jo. artikel 6 lid 3 Databankenwet). Het zou interessant zijn geweest wanneer die discussie over de beschermingsduur in deze procedure gevoerd zou zijn geweest.

Inbreuk waarschijnlijk vanwege identieke schrijfwijze en schrijffouten

Van inbreuk op het databankenrecht kan alleen sprake zijn wanneer de gegevens daadwerkelijk uit een beschermde databank zijn overgenomen. Wanneer gegevens elders worden verkregen, is van inbreuk op het databankenrecht geen sprake.

De ANWB wijst de rechtbank er in dat kader op dat de gegevens over de jachthavens door Multifocus op (nagenoeg) identieke wijze worden weergegeven als in de wateralmanak van de ANWB. De ANWB heeft aan de hand van een lijst van de eerste 100 jachthavens uit de wateralmanak laten zien dat de benaming van de jachthaven in de wateralmanak in 72 gevallen afwijkt van de benaming op de eigen website van die jachthaven (bijvoorbeeld qua interpunctie, spelling of toevoegingen) en dat in al die gevallen de door Multifocus gehanteerde benaming overeen komt met die van ANWB. ANWB heeft bovendien aannemelijk gemaakt dat de benaming die zij hanteert niet in andere openbare bronnen is terug te vinden. Saillant detail is dat in de gegevensverzameling van Multifocus zelfs dezelfde schrijffouten voorkomen.

Daarmee is, naar voorlopig oordeel, voldoende vast komen te staan dat de gegevens zijn overgenomen uit de wateralmanak van de ANWB.

Overname van 29,8%-39,7% van gegevens databank vormt inbreuk

Een van de weinige punten van debat tussen partijen is de vraag of er al dan niet een substantieel deel van de databank van de ANWB is overgenomen. Het overnemen van niet-substantiele delen van een beschermde databank is namelijk vrij (tenzij daarmee alsnog stukje-bij-beetje de databank wordt “leeggemolken”).

Multifocus stelt dat zij van veel jachthavens nieuwe gegevens heeft ontvangen en dat zij daarmee haar eigen databank ondertussen zo ver heeft opgeschoond, dat van overname een substantieel van de databank van de ANWB niet langer sprake is. De rechtbank verwerpt dat betoog:

Multifocus stelt dat zij gegevens van tussen de 500 en 600 jachthavens heeft ontvangen. Daargelaten of dat aantal juist is (ANWB bestrijdt dat) en of al die gegevens al zijn aangepast in de database waar de website uit put (Multifocus heeft na betwisting erkend dat dat niet zo is), laat dat de stelling onverlet dat op de website van Multifocus nog gegevens van tussen de 300 en 400 jachthavens staan waarvan voorshands moet worden aangenomen dat die voor het overgrote deel zijn ontleend aan de databank van ANWB. Naar voorlopig oordeel heeft ANWB terecht aangevoerd dat dat nog altijd een in kwantitatief opzicht substantieel deel van de 1006 jachthavens in de databank van ANWB is.

Met andere woorden: volgens de rechtbank is een selectie van (300/1006=) 29,8% van de gegevens uit een databank aan te merken als een “substantieel deel” van die databank. Het zonder toestemming opvragen c.q. hergebruiken van een dergelijke hoeveelheid gegevens uit een databank vormt een schending van het exclusieve recht van de producent van de databank. Overigens is dit percentage redelijk in lijn met percentages die in andere uitspraken worden genoemd (zie daarvoor tabel 2 in mijn artikel).

Ten slotte

De overige punten van discussie tussen partijen zijn wat mij betreft verder niet echt bijzonder. Er volgt dan ook een bevel om de inbreuk op het databankenrecht binnen 3 werkdagen na betekening van het vonnis te staken en gestaakt te houden. Ook wordt Multifocus veroordeeld in de proceskosten van de ANWB (door de rechtbank gematigd tot 6.650,81 euro).

 Eerder berichtten wij al dat Nictiz per 1 januari 2012 letterlijk de stekker uit het Landelijk Schakel Punt (LSP) zou trekken omdat er onvoldoende garanties en andere (financiele) middelen waren gevonden om door te kunnen gaan met het LSP. Goed een maand later bericht Nictiz dat (onder meer) de koepelorganisaties KNMP, LHV en VHN die middelen alsnog bij elkaar heeft gekregen, waardoor zij haar besluit om te stoppen nu heeft herzien.  Of het eerdere persbericht van Nictiz een slimme , gecalculeerde onderhandelingszet is geweest of niet, het heeft in ieder geval genoeg roering doen ontstaan dat het LSP blijft bestaan. Het EPD vraagstuk wordt dus vervolgd.

Steeds meer organisaties maken gebruik van “cloud computing” of overwegen hier gebruik van te maken. Denk aan het gebruik van Google Apps of andere clouddiensten. De “cloud” kan voordelen opleveren op het gebied van kostenbesparingen en eenvoudiger beheer van software en data. Steeds vaker wordt wezenlijke informatie naar de cloud verplaatst. Maar welke nadelen kent de cloud en welke juridische risico’s loopt u? En hoe voorkomt of beperkt u die risico’s?

Inleiding

In dit seminar gaan we nader in op deze vragen en in het bijzonder welke zaken er in het contract geregeld moeten worden. Ook wordt specifiek aandacht geschonken aan de privacyrechtelijke randvoorwaarden die bij cloud computing in acht moeten worden genomen.

Thema’s

Tijdens het seminar worden twee thema’s behandeld. Dit betreft een voorlopig programma; mogelijk vindt nog een nadere verfijning plaats.

Deel 1: specifieke aandachtspunten van een cloud contract

Kenmerkend voor cloud computing is dat data verspreid over verschillende locaties worden opgeslagen, waarbij doorgaans niet duidelijk is waar welke data staan. Hierdoor ontstaat – nog veel meer dan bij andere typen dienstverlening op afstand – een grote afhankelijkheid van de leverancier (vendor lock-in). Hoe gaat u hiermee om? Hoe voorkomt u dat u de grip verliest op uw eigen data? Welk recht is eigenlijk van toepassing als de data verspreid over de wereld worden opgeslagen? En staan de licenties op de software die u gebruikt eigenlijk wel toe dat die software in de cloud wordt geplaatst? Kortom: wat moet u allemaal in een cloud contract regelen?

Deel 2: cloud computing en privacyrecht

Cloud computing kan op gespannen voet komen te staan met Europees privacyrecht. Zo is de export van persoonsgegevens buiten de EER alleen onder strenge voorwaarden toegestaan, terwijl veel cloud leveranciers juist ook gebruik willen maken van datacentra buiten de EER. Hoe kunt u hiermee omgaan? En hoe gaat u om met een lek in het datacentrum, gezien de (toekomstige) meldplicht datalekken?

Door ervaren specialisten

De presentaties worden verzorgd door ervaren specialisten van de sectie Intellectuele Eigendom en IT-recht bij Dirkzwager. Het dagvoorzitterschap is in handen van Theo Bosboom (advocaat/vennoot sectie IE/IT). 

Ernst-Jan van de Pas is als advocaat gespecialiseerd in IT-recht en Intellectuele Eigendom. Hij heeft de postdoctorale Grotius opleiding Informaticarecht afgerond (2008) en is lid van de Vereniging van Informatica Recht Advocaten (VIRA). Ernst-Jan begeleidt cliënten bij het sluiten van IT-contracten en het beslechten van IT-geschillen.

Mark Jansen is ook advocaat bij Dirkzwager en gespecialiseerd in ICT-recht en Intellectuele Eigendom. Naast Nederlands recht heeft Mark ook bedrijfskunde (richting kennis- en informatiemanagement) gestudeerd. Als zodanig heeft hij ook veel kennis over de toepassing van ICT-systemen in organisaties.

Voor wie?

Iedereen die in de praktijk met IT-contracten en de beslissing al dan niet voor cloud computing te kiezen te maken kan krijgen, waaronder IT-en informatiemanagers, projectmanagers, inkopers, bedrijfsjuristen en directieleden.

Het precieze programma moet nog worden vormgegeven. Het is echter al wel mogelijk om u aan te melden op de centrale aanmeldpagina.

De kosten voor deze workshop bedragen € 175,= exclusief BTW voor niet-cliënten van Dirkzwager. Voor cliënten van Dirkzwager is deelname aan dit seminar geheel kosteloos.

Neem voor vragen of inlichtingen met betrekking tot dit seminar contact op met Linda van Dijk: telefoon: 026-353 83 23, ieit@dirkzwager.nl

De advocaten van Dirkzwager organiseren voor ondernemers een seminar over het onderwerp Auteursrecht. Aan de hand van concrete praktijkvoorbeelden wordt helder uitgelegd wat de reikwijdte van het auteursrecht is, hoe u ervoor kunt zorgen dat u de rechten bezit voor in opdracht gemaakte creaties, teksten, advertenties, vormgeving, websites e.d. en wat u moet doen bij een inbreuk.

Programma

Auteursrechten zijn essentieel voor bedrijven, ondernemingen en instellingen en u heeft als ondernemer voortdurend te maken met auteursrechten van uzelf of van derden. Bewust omgaan met auteursrechten schept kansen en bespaart kosten. Maar niet iedereen is goed op de hoogte van de regels omtrent het auteursrecht, het auteursrecht is complex en voortdurend in ontwikkeling. Daarom is het voor veel ondernemers lastig in te schatten welke regels van belang zijn. Wij maken dat inzichtelijk tijdens dit seminar. Daarbij komen onder meer de volgende onderwerpen aan bod:

• Waarop rust auteursrecht (copyright)?
• Slim contracteren inzake overdracht en exploitatie van auteursrechten (right to copy).
• Wie is rechthebbende, de onderneming, de werknemer of de zzp’er?
• Wanneer is er auteursrechtinbreuk?
• Hoe kunt u uw auteursrechten effectief beschermen en handhaven?

Tijd en locatie

Het Seminar Auteursrecht voor Ondernemers vindt plaats donderdag 7 juni 2012 op ons kantoor in Arnhem, Velperweg 1 (6824 BZ). Het programma is als volgt:

14.00 uur Ontvangst

14.30 uur Opening en deel 1: Auteursrechten, rechthebbenden en slim contracteren

15.15 uur Pauze

15.30 uur Deel 2: Auteursrechtinbreuk, effectieve bescherming en handhaving

16.15 Borrel

Door ervaren specialisten

Het seminar Auteursrecht voor Ondernemers wordt verzorgd door twee ervaren advocaten van de sectie Intellectuele Eigendom en IT-recht:

Jaap Kronenberg
Jaap Kronenberg is advocaat en partner Intellectuele Eigendom en IT-recht bij Dirkzwager. Hij adviseert bedrijven en instellingen over de bescherming van hun rechten en het sluiten van licentiecontracten en behandelt regelmatig auteursrechtgeschillen.

Lot Nelissen
Lot Nelissen is advocaat met als specialisme het Intellectuele Eigendomsrecht en Internetrecht, in het bijzonder het merkenrecht, handelsnaamrecht, en auteursrecht. Zij adviseert bedrijven en instellingen over de bescherming van hun rechten in de online en offline wereld.

Aanmelden is mogelijk via de centrale aanmeldpagina.

De licentieovereenkomst

Het schriftelijk vastleggen van afspraken in een licentieovereenkomst is onontbeerlijk om helderheid te verschaffen over licenties en toekomstige onduidelijkheden te voorkomen. Waarom en hoe regelt u uw afspraken in een licentieovereenkomst? Wat moet u per se opnemen in de overeenkomst? Dirkzwager zet dit voor u op een rijtje.

Overdracht of licentie?

Soms verdient de overdracht van rechten de voorkeur boven een licentie. Wat wordt precies verstaan onder de ‘overdracht’? En wanneer verdient een overdracht de voorkeur boven een licentie? Dirkzwager belicht de verschillende mogelijkheden.

Verdienmodel

Licenties zijn uitermate nuttig instrument om inkomsten te vergaren, en dus zeer belangrijk voor ondernemers. Maar hoe bouwt u vanuit een rechtenportefeuille een solide royalty-regeling op? Dirkzwager zet verschillende soorten royalty-regelingen uiteen.

Praktische tips

U ontvangt daarnaast praktische tips om uw juridische positie in licentieovereenkomsten te verstevigen. Daarbij wordt met name ingegaan op de volgende onderwerpen:

- onderwerp en reikwijdte van de licentie;

- exclusiviteit, geheimhouding en non-concurrentie;

- duur en beëindiging van de licentie;

- licentie en faillissement, wat zijn de gevolgen?

- wat te doen bij inbreuk op gelicenceerde rechten?

Voor wie?

Alle ondernemers die producten en diensten in de breedste zin des woords produceren en/of verkopen. De lunch is ook bestemd voor merk- en modelhouders, houders van een octrooi en ondernemingen die over know how en bedrijfsgeheimen beschikken.

Het precieze programma moet nog worden vormgegeven. Het is echter al wel mogelijk om u aan te melden op de centrale aanmeldpagina. Indien u dieetwensen heeft dan kunt u dit vermelden in het veld ‘overig’.

De kosten voor deze lunch bedragen € 175,= exclusief BTW voor niet-cliënten van Dirkzwager. Voor cliënten van Dirkzwager is deelname aan deze lunch geheel kosteloos.

Neem voor vragen of inlichtingen met betrekking tot deze lunch contact op met Marlies Seubring: telefoon: 026-353 83 77 / ieit@dirkzwager.nl

Om antwoord te geven op deze en andere vragen, organiseert Dirkzwager op 20 juni 2012 een SLA-lunch. Tijdens de lunch willen wij met een relatief kleine groep (maximaal 15 personen) op een hele laagdrempelige manier met u van gedachten wisselen over de inhoud van een goede SLA. In het kader zullen we met u spreken over enkele veelvoorkomende valkuilen, misvattingen en tekortkomingen die wij tegen komen in bestaande SLA’s. Ook horen we graag van u wat uw ervaringen zijn bij het opstellen van en onderhandelen over de tekst van een SLA. Het doel van de lunch is namelijk niet alleen dat wij onze kennis delen met de deelnemers, maar ook dat de deelnemers kunnen leren van elkaars ervaringen.

Programma

De lunch vindt plaats van 12.00-14.30 uur. Het precieze programma voor de SLA-lunch moet nog worden vormgegeven. Binnenkort verschijnt hier op deze kennispagina meer uitgebreid programma.

Inschrijven en kosten

Het is nu al mogelijk om u in te schrijven voor deze SLA-lunch. Zorg dat u erop tijd bent met uw inschrijving, want het aantal deelnemers is beperkt tot maximaal 15. Dit verband met het kleinschalige karakter van deze lunch (o.a. vanwege de mogelijkheid tot onderlinge discussie). Aanmelden voor deze lunch is mogelijk via de centrale aanmeldpagina. Indien u dieetwensen heeft dan kunt u dit vermelden in het veld ‘overig’. 

De kosten voor deelname aan de lunch bedraagt € 175,=exclusief BTW per persoon. Voor cliënten van Dirkzwager is deelname aan deze lunch geheel kosteloos.

Vragen?

Neem voor vragen contact op met Linda van Dijk: telefoon: 026-353 83 23 of e-mail: ieit@dirkzwager.nl

In versie 2.0 van het seminar gaan we iets meer de diepte in en analyseren, samen met u, waarom een bepaald geschil uiteindelijk tot een bepaalde uitkomst heeft geleid. Met andere woorden: hoe kan het toch dat een rechter bij een dramatisch misgelopen IT-project, toch de IT-leverancier niet veroordeelt tot het volledig terugbetalen van alle reeds betaalde gelden en het betalen van een schadevergoeding? Of juist vanuit het perspectief van de leverancier: hoe gaat een rechter om met een afnemer die keer op keer de specificaties van het project probeert te wijzigen, waardoor het project vervolgens vertraging oploopt of waar mogelijk niet eens aan voldaan kan worden? Dergelijke vragen zijn al in de rechtspraak voorbij gekomen en wij zullen de betreffende uitspraken dan ook met u doornemen.

De insteek van het seminar is, net als bij versie 1.0, een hele praktische. Dat wil dus zeggen dat we niet de juridisch-technische formaliteiten met u in detail zullen bespreken, maar er vooral met u over zullen spreken hoe u in een soortgelijke praktijksituatie moet handelen zodat u juist geen last heeft van die juridisch technische aspecten van een geschil. Het seminar is dan ook bedoeld voor zowel bedrijfsjuristen als projectleiders en andere beslissers betrokken bij een IT-project.

Thema’s

Na het bijwonen van dit seminar bent u beter in staat om uw rechtspositie en strategie te bepalen in IT-geschillen en weet u beter hoe het eraan toegaat als u toch in een juridische procedure terecht komt. Tijdens het seminar komen de volgende thema’s aan de orde:

Deel 1: Juridisch kader bij IT-geschillen

Tijdens dit deel komen de belangrijkste onderwerpen uit het vorige seminar IT-geschillen kort aan bod. Hoe ontstaan geschillen en hoe kunt u deze voorkomen? Wat zijn uw juridische mogelijkheden? Wat zijn de belangrijkste juridische aandachtspunten en waar liggen de valkuilen? Moet u altijd een ingebrekestelling sturen? Aan welke eisen moet een ingebrekestelling eigenlijk voldoen? Met welke wettelijke en veel voorkomende contractuele voorwaarden moet u rekening houden?

Deel 2: IT-geschillen vanuit de praktijk

Soms heeft praten geen zin meer en zult  u het geschil moeten voorleggen aan een rechter of arbiter. Hoe verloopt die juridische procedure en waar kijkt een rechter of arbiter eigenlijk naar? Tijdens dit deel nemen wij enkele rechterlijke uitspraken door en analyseren wij, samen met u, waarom een bepaald geschil uiteindelijk tot een bepaalde uitkomst heeft geleid. Met andere woorden: welke juridische regels maken nu dat de rechter tot dit oordeel is gekomen?

Praktische insteek

De insteek van dit seminar is een hele praktische. Dat wil dus zeggen dat we niet de juridisch-technische formaliteiten met u in detail zullen bespreken, maar er vooral met u over zullen spreken hoe u in een praktijksituatie moet handelen om juridisch “gedoe” te voorkomen of  hoe u daarmee kunt omgaan.

Thema’s

Na het bijwonen van dit seminar bent u beter in staat om uw rechtspositie en strategie te bepalen in IT-geschillen en weet u beter hoe het eraan toegaat als u toch in een juridische procedure terecht komt. Tijdens het seminar komen de volgende thema’s aan de orde:

Deel 1: Juridisch kader bij IT-geschillen

Tijdens dit deel komen de belangrijkste onderwerpen uit het vorige seminar IT-geschillen kort aan bod. Hoe ontstaan geschillen en hoe kunt u deze voorkomen? Wat zijn uw juridische mogelijkheden? Wat zijn de belangrijkste juridische aandachtspunten en waar liggen de valkuilen? Moet u altijd een ingebrekestelling sturen? Aan welke eisen moet een ingebrekestelling eigenlijk voldoen? Met welke wettelijke en veel voorkomende contractuele voorwaarden moet u rekening houden?

Deel 2: IT-geschillen vanuit de praktijk

Soms heeft praten geen zin meer en zult  u het geschil moeten voorleggen aan een rechter of arbiter. Hoe verloopt die juridische procedure en waar kijkt een rechter of arbiter eigenlijk naar? Tijdens dit deel nemen wij enkele rechterlijke uitspraken door en analyseren wij, samen met u, waarom een bepaald geschil uiteindelijk tot een bepaalde uitkomst heeft geleid. Met andere woorden: welke juridische regels maken nu dat de rechter tot dit oordeel is gekomen?

Praktische insteek

De insteek van dit seminar is een hele praktische. Dat wil dus zeggen dat we niet de juridisch-technische formaliteiten met u in detail zullen bespreken, maar er vooral met u over zullen spreken hoe u in een praktijksituatie moet handelen om juridisch “gedoe” te voorkomen of  hoe u daarmee kunt omgaan.

Voor wie?

Iedereen die in de praktijk met IT-geschillen te maken kan krijgen, waaronder IT- en informatiemanagers, projectmanagers, inkopers, bedrijfsjuristen en directieleden.

Door ervaren specialisten

De presentaties worden verzorgd door ervaren specialisten, die niet alleen veel ervaring hebben met het opstellen en toetsen van allerhande IT contracten , maar ook met het adviseren, onderhandelen en procederen in automatiseringsgeschillen.

Ernst-Jan van de Pas is als advocaat bij Dirkzwager gespecialiseerd in ICT-recht en Intellectuele Eigendom. Ook Ernst-Jan heeft de postdoctorale Grotius opleiding Informaticarecht met goed gevolg voltooid en is eveneens lid van de VIRA.

Mark Jansen is ook advocaat bij Dirkzwager en gespecialiseerd in ICT-recht en Intellectuele Eigendom. Naast Nederlands recht heeft Mark ook bedrijfskunde (richting kennis- en informatiemanagement) gestudeerd. Als zodanig heeft hij ook veel kennis over de toepassing van ICT-systemen in organisaties.

Wanneer en waar?

Op dinsdag 13 maart 2012 bij Dirkzwager advocaten & notarissen te Arnhem aan de Velperweg 1 (6824 BZ).

Programma

Aanmelden en kosten

Het programma zal ‘s middags plaatsvinden, het ontvangst is om 13.45, de opening van het seminar is om 14.00 uur.  Aanmelden voor dit seminar kan via de centrale aanmeldpagina.

De kosten voor dit seminar bedragen € 175,= exclusief BTW voor niet-cliënten van Dirkzwager. Voor cliënten van Dirkzwager is deelname aan dit seminar geheel kosteloos.

Vragen?

Neem voor vragen of inlichtingen met betrekking tot dit seminar contact op met Linda van Dijk: telefoon: 026-353 83 23, ieit@dirkzwager.nl

De regering stelt voor de Wet bescherming persoonsgegevens (Wbp) op verschillende punten te wijzigen. Zo zou onder meer het gebruik van camerabeelden met daarop strafrechtelijk relevante gedragingen volgens de regering wat moeten worden versoepeld (vermoedelijk in reactie op berichtgeving de afgelopen zomer over het plaatsen van beelden van inbrekers op internet…). Ook wil de regering wat wetstechnische wijzigingen doorvoeren. Hierop ga ik in dit bericht niet verder in.

Waar ik wel op in ga is de voorgestelde regeling van de meldplicht datalekken. Het wetsvoorstel introduceert een nieuw artikel 34a Wbp, waarin kort samengevat staat dat bij een inbreuk op beveiligingsmaatregelen de verantwoordelijke van die inbreuk zowel een melding moet doen bij het College Bescherming Persoonsgegevens als de personen wiens gegevens door de inbreuk (mogelijk) gecompromitteerd zijn op de hoogte moet stellen.

Geen meldplicht datalekken, maar meldplicht beveiligingsinbreuken

Opvallend is dat niet ieder datalek gemeld hoeft te worden, maar alleen iedere inbreuk op de maatregelen die (op grond van artikel 13 Wbp) genomen zijn om persoonsgegevens te beveiligen. Dat volgt letterlijk uit de tekst van het wetsvoorstel en ook de toelichting op het wetsvoorstel benadrukt dit nog eens:

Er is pas sprake van een datalek, wanneer die technische en organisatorische maatregelen niet hebben gefunctioneerd en de persoonsgegevens blootgesteld zijn aan een aanmerkelijk risico van verlies of onrechtmatige verwerking.

Dat veronderstelt dat er ook daadwerkelijk beveiligingsmaatregelen zijn genomen. De praktijk laat zien dat dit maar zeer de vraag is. Onder andere de berichtgeving rond “Lektober” heeft laten zien dat persoonsgegevens soms in het geheel niet beveiligd worden.

Het leidt bovendien tot in de praktijk lastig te verklaren verschillen. Een organisatie die geen enkele beveiligingsmaatregel heeft genomen en die vervolgens kampt met een datalek (zoals een losslingerende USB-stick), gaat straks vrijuit onder het nieuwe artikel 34a Wbp (waarschijnlijk schendt die organisatie wel artikel 13 Wbp, maar daarop staat geen boete). Dit terwijl een organisatie die zijn best doet en juist wel allerlei maatregelen neemt en vervolgens eveneens met een losslingerende USB-stick kampt, straks gedwongen is een melding te doen bij het College Bescherming Persoonsgegevens en een boete tot 200.000 euro kan verbeuren wanneer hij deze melding niet of niet tijdig c.q. volledig doet.

Vier vragen te stellen door instelling met inbreuk op beveiliging

Bovendien moet niet ieder datalek gemeld worden. De verantwoordelijke die wordt geconfronteerd met een (mogelijk) datalek moet zich afvragen:

1. is er sprake van een inbreuk op de beveiligingsmaatregelen?
2. zo ja, zijn de verwerkte persoonsgegevens daardoor blootgesteld aan een risico van verlies of onrechtmatige verwerking?
3. zo ja, is dat risico op verlies of onrechtmatige verwerking ook aanmerkelijk?
4. zo ja, is aannemelijk dat wanneer dat risico zich verwezenlijkt dit redelijkerwijs tot nadelige gevolgen voor de persoonsgegevens of de persoonlijke levenssfeer van de betrokkene leidt?

Antwoord op vraag 1 lastig

De eerste vraag is in de praktijk vermoedelijk lang niet altijd zo eenvoudig te beantwoorden. Een organisatie die zich geconfronteerd ziet met een bepaald onzeker incident (zoals ongewoon veel dataverkeer op het netwerk), zal eerst moeten toetsen wat er aan de hand is. Heeft dat incident betrekking op beveiligingsmaatregelen? Zo ja, zien die beveiligingsmaatregelen dan op de beveiliging van persoonsgegevens, of (ook) van andersoortige data? De meldplicht ziet namelijk alleen op het (risico op) uitlekken van persoonsgegevens.

Bovendien moet een organisatie die zich geconfronteerd ziet met een datalek zich afvragen of de oorzaak van dat datalek gelegen is het doorbreken van een genomen beveiligingsmaatregel, of dat het lek een andere oorzaak heeft (zie ook hiervoor). Alleen een inbreuk op die beveiligingsmaatregelen leidt tot een melding.

Antwoord op vraag 2 zal in de regel uit antwoord op vraag 1 volgen

Het antwoord op de tweede vraag zal vermoedelijk snel volgen uit het antwoord op de eerste vraag. Het lijkt waarschijnlijk dat als een beveiligingsmaatregel is doorbroken, de persoonsgegevens daarmee ook blootgesteld zijn aan een risico op verlies of onrechtmatige verwerking. Hoe groot dat risico is en of zich dat ook heeft verwezenlijkt lijkt voor beantwoording van deze vraag niet relevant. Het enkele bestaan van het risico lijkt voldoende om deze vraag positief te beantwoorden.

Antwoord op vraag 3 hangt af van alle omstandigheden van het geval

Dat brengt de verantwoordelijke automatisch bij de derde vraag: is dat risico aanmerkelijk? Volgens de toelichting hangt dit af van alle omstandigheden van het geval:

Of er sprake is van een aanmerkelijk risico is eveneens afhankelijk van de concrete feiten en omstandigheden. De aard van de inbreuk zal doorgaans van belang zijn bij het bepalen van de grootte van het risico. Het is niet goed mogelijk aan te geven of het verlies van een mobiele telefoon, de diefstal van een laptop of het zoekraken van een geheugenstick wel of geen aanleiding geeft een melding te doen. Of die noodzaak aanwezig is, is afhankelijk van de aard van de data die het betreft en het vermoedelijke risico dat de betrokkene en de verantwoordelijke lopen ingeval van zoekraken of onrechtmatige verwerking.

Ook antwoord op vraag 4 hangt af van alle omstandigheden van het geval

De vierde vraag is bedoeld om te voorkomen dat niet iedere inbreuk direct tot een melding leidt. Alleen inbreuken die waarschijnlijk leiden tot nadelige gevolgen voor de persoonsgegevens of de persoonlijke levenssfeer van de betrokkene moeten worden gemeld. Uit de toelichting van de regering blijkt opnieuw dat ook het antwoord op deze vraag in feite afhangt van alle omstandigheden van het geval:

Omvang en aard van de verwerking zijn mede bepalend voor de vraag of de verwezenlijking van het risico als nadelig voor persoonsgegevens en de bescherming van de persoonlijke levenssfeer moet worden aangemerkt. Het zoekraken of hacken van de ledenadministratie van een sportvereniging zal doorgaans leiden tot het nodige ongemak voor vereniging en leden, maar zal niet snel aanleiding geven tot een melding bij het Cbp. De gevolgen van een dergelijk datalek blijven doorgaans beperkt en ook van betrokkenen kan worden gevergd dat zij een zekere mate van risico aanvaarden. Dat is nu eenmaal onlosmakelijk verbonden met het normaal vertrouwen in maatschappelijke verhoudingen. Maar een datalek bij, bijvoorbeeld, de Belastingdienst of de Sociale Verzekeringsbank (SVB) of een commerciële bank of verzekeraar is doorgaans van geheel andere orde. Een datalek bij dergelijke instellingen kan leiden tot financieel nadeel bij de betrokkene of de compromittering van gegevens die beschermd worden door een geheimhoudingsplicht.

Of een melding gedaan moet worden is voor de betrokkene dus al met al helemaal niet zo eenvoudig te beoordelen. De beantwoording van de vragen 1, 3 en 4 roept immers allerlei vragen op. Het is dan ook niet verrassend dat de regering in de tekst van het voorstel de hoop c.q. de verwachting uitspreekt dat het Cbp met nadere richtlijnen zal komen:

Tenslotte mag van het Cbp worden verwacht dat het boetebeleidsregels zal vaststellen waarmee het college indirect enig houvast kan geven aan de praktijk. Daarin zal ook kunnen worden ingegaan op de invulling van de voorziening om nodeloze meldingen te voorkomen. Vermoedelijk zal het Cbp ook nog aanvullende voorlichting aan de praktijk geven.

Zowel melding aan Cbp als aan betrokkene

Volgens het wetsvoorstel moet een melding zowel aan het Cbp als aan de betrokkene (degene wiens gegevens door de inbreuk mogelijk getroffen zijn) worden gedaan. Opvallend is dat beide meldingen “onverwijld” moeten worden gedaan. Het lijkt er daarmee op dat beide meldingen op (bijna) hetzelfde moment, althans in ieder geval op korte termijn na elkaar, moeten worden gedaan.

Tegelijk staat echter in het zesde lid van het voorgestelde wetsartikel dat de melding aan de betrokkene achterwege kan blijven wanneer: “de verantwoordelijke naar het oordeel van het College gepaste technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft versleuteld zijn of anderszins onbegrijpelijk zijn gemaakt voor eenieder die geen recht heeft op kennisname van de gegevens“.

Naar de letter van het wetsvoorstel moet de verantwoordelijke dus min of meer om “toestemming” vragen aan het Cbp om de melding aan de betrokkene achterwege te laten. Het is echter de vraag of dat zo bedoeld is. Gezien de tekst in de toelichting lijkt het er eerder op dat bedoeld is dat de verantwoordelijke bij een datalek in beginsel altijd eerst kan volstaan met een melding bij het Cbp, mits hij in die melding maar stelt dat naar zijn oordeel een melding bij de betrokkene(n) achterwege kan blijven vanwege de toepassing van encryptie of andere maatregelen. Het College kan vervolgens de verantwoordelijke op grond van lid 7 van het voorgestelde wetsartikel alsnog bevelen een mededeling te doen aan de betrokkene.

Het wetsvoorstel zou hiermee de populariteit van de toepassing van encryptie wel eens (enorm) kunnen doen vergroten. Wie immers encryptie hanteert op een niveau dat volgens het Cbp voldoet, hoeft geen melding te doen aan de betrokkene (en bespaart zich dus alle publicitaire gevolgen). En juist het gegeven dat een instelling gebruik maakt van dergelijke encryptie, vergroot – gezien onderstaande passage uit de toelichting op de wet – waarschijnlijk ook de kans dat het Cbp geen verdere actie onderneemt naar aanleiding van de melding:

Het is zeker geen gegeven dat het Cbp iedere melding laat volgen door een onderzoek of andere maatregelen. Een verantwoordelijke die handelt op de manier die van hem mag worden verwacht treft immers zelf zo spoedig mogelijk de nodige maatregelen om het datalek te dichten en herhaling van het voorval tegen te gaan. De verantwoordelijke zal ook bekend maken wat hij onderneemt. Een melding bij het Cbp zal in die gevallen veelal zonder enige reactie blijven.

Ik ben erg benieuwd of deze systematiek ook in de uiteindelijke wetstekst terug zal komen. De reden hiervoor is de volgende. Iedere computerdeskundige zal bevestigen dat iedere encryptiemethode te kraken is. Het uitvoeren van een kraak duurt soms wellicht alleen (extreem) lang. Met de opkomst van cloud computing is het echter heel eenvoudig mogelijk voor specifieke taken extreme (gecombineerde) rekenkracht in te huren door aaneenschakeling van vele computers op wereldschaal. Een hacker die een interessant (bijvoorbeeld EPD-gegevens, bancaire gegevens, gegevens omtrent chantabele personen, etc.) maar versleuteld bestand middels een hack heeft weet te bemachtigen, zal er veel aan gelegen kunnen zijn het bestand te ontsleutelen. Die hacker kan, in een poging de “sleutel” te zoeken, daarvoor veel rekenkracht inzetten. Die ontsleutelpoging van de hacker vindt geheel buiten beeld van de betrokkenen (wiens gegevens in het bestand staan) plaats. Aan hen hoeft immers niet gemeld te worden dat het bestand ontvreemd is; het bestand was immers versleuteld. Hoe reëel die kans op ontsleuteling is (hoe extreem veel rekenkracht nodig is) kan ik als jurist (niet-IT’er) lastig inschatten. Dat de cloud gebruikt wordt voor dergelijke kraakpogingen is mij echter uit het nieuws wel bekend. Het is dan ook de vraag of de rechtvaardiging voor de uitzondering op de notificatieplicht wel op gaat.

Stevige boete tot 200.000 euro

Op schending van alle verplichtingen van het nieuwe artikel 34a Wbp (enkele van die verplichtingen heb ik in dit artikel nog niet behandeld), staat volgens het wetsvoorstel een boete van maximaal 200.000 euro. Een forse sanctie, zeker ook wanneer bedacht wordt dat het Cbp tot op heden slechts een boete van maximaal 4.500 euro kan opleggen (voor schending van de meldingsplicht).

Opvallend is verder dat die boete voor aanbieders van openbare elektronische communicatiediensten door dit wetsvoorstel zou worden verlaagd. Op grond van het nog aanhangige wetsvoorstel waarin o.a. het nieuwe cookieverbod staat hebben (kort gezegd) telecomaanbieders namelijk straks een soortgelijke meldingsplicht als nu door de algemene meldplicht datalekken zou worden geïntroduceerd. Op schending van de meldingsplicht door telecomaanbieders zou een boete van maximaal 450.000 euro van de OPTA komen te staan. Wanneer deze wet omtrent de algemene meldplicht datalekken wordt aangenomen, verschuift die boetebevoegdheid naar het Cbp en geldt een maximale boete van 200.000 euro. Het is me niet duidelijk waarom de regering voor schending van soortgelijke verplichtingen zo kort na elkaar een verschil in boetemaxima van 250.000 euro wil introduceren.

Consultatieronde loopt tot 29 februari 2012

Voor de goede orde: het gepubliceerde wetsvoorstel betreft slechts een eerste conceptversie (de regering noemt het zelf versie 0.1). Dit document is bewust gepubliceerd om reacties uit te lokken vanuit de samenleving. Met de publicatie is namelijk tevens een consultatieperiode gestart. Een ieder kan via de website www.internetconsultatie.nl tot 29 februari 2012 laten weten wat hij van dit wetsvoorstel vindt. Zodra er meer nieuws is over dit wetsvoorstel, houden wij u op de hoogte.