Stichting Geschillenoplossing Automatisering
Stichting Geschillenoplossing Automatisering
Stichting Geschillenoplossing Automatisering
  • SGOA kan nu ook uw ICT-rechtelijke incompany training verzorgen! Lees verder voor meer informatie over de invulling.

    LEES VERDER

  • Deze week verschijnt de derde SGOA Signaal van 2017, een online nieuwsbrief met onderwerpen die voor ICT-conflictmanagement van belang zijn! Wilt u het SGOA Signaal ook ontvangen? of de laatste versie lezen?

    AANMELDEN
    LEZEN

  • Rapid Conflict Resolution (RCR) is een nieuwe dienst van de SGOA voor de wat kleinere IT-geschillen waarvoor een snelle, gedegen oplossing gewenst is. 

    LEES VERDER

  • SGOA is het leidende, onafhankelijke non-profit instituut voor IT Conflict Management en is gespecialiseerd in conflictpreventie, mediation en arbitrage op ICT-gebied.

  • De SGOA is, als gespecialiseerde geschilleninstantie op het gebied van IT, het platform bij uitstek om conflicten en geschillen over IT-security te behandelen…

    LEES VERDER

SGOA Signaal 2016 week 51

SGOA Signaal 2016 week 51

Geachte lezer,

In deze editie van onze nieuwsbrief aandacht voor het volgende:

Het bestuur en het bureau van de SGOA wensen u gezellige dagen en een heel voorspoedig, mooi en gezond 2017!

Nieuw: SGOA Rapid Conflict Resolution


Rapid Conflict Resolution (RCR), een nieuwe dienst van de SGOA, is een snelle en gedegen oplossing voor kleinere IT-geschillen. Twee doorgewinterde conflictmoderators (een IT-jurist en een IT-deskundige) met mediation- en onderhandelingsvaardigheden begeleiden de partijen binnen een dag naar een gedragen oplossing. Die vervolgens in eenvaststellingsovereenkomst komt.
De partijen leveren geen stukken op, maar krijgen in plaats daarvan een korte vragenlijst. De moderators hebben zo snel en gericht inzicht in de aard en omvang van het geschil.

Binnen twee weken

RCR is bedoeld voor niet al te complexe IT-geschillen met een financieel belang onder de € 50.000. Binnen twee weken na aanmelding wordt een RCR-traject afgerond. Voor RCR hanteren we een vaste totaalprijs van € 3.995 exclusief btw, in gelijke delen te betalen door de partijen.

SGOA Hans Frankenprijs 2016 voor de tweede keer uitgereikt

Een verslag van winnares Claudia Quelle

Op 3 november reikte de Stichting Geschillenoplossing Automatisering voor de tweede keer de Hans Frankenprijs uit. Dit keer in het Grand Café Restaurant 1e Klas, met uitzicht over het plein voor het Centraal Station te Amsterdam. Met trots heb ik de prijs in ontvangst genomen voor mijn scriptie: ‘The data protection impact assessment: what can it contribute to data protection?’ Na de lovende woorden van prof. dr. mr. Hans Franken, heb ik mijn scriptie kort samengevat. Mijn scriptie was er bovendien voor alle aanwezigen in boekvorm.

Data protection impact assessment

Het onderwerp van mijn scriptie is de data protection impact assessment: de gegevensbeschermingseffectbeoordeling. Voor zogeheten verwerkingsverantwoordelijken – bedrijven en overheidsinstanties die persoonsgegevens verwerken – wordt het verplicht om de effecten van hun gegevensverwerkingen te analyseren en te evalueren. Met mijn scriptie wilde ik onderzoeken wat deze effectbeoordeling toevoegt aan de Algemene Verordening Gegevensbescherming (AVG).

Toestemming is snel gegeven

Een aantal beginselen en regels in de AVG vereisen dat verantwoordelijken een beeld hebben van de impact van hun gegevensverwerkingen. Zo zijn de consequenties voor individuen bijvoorbeeld van belang voor de toets of een verdere verwerking verenigbaar is met het eigenlijke doel. Maar zijn ze dan ook verplicht om de risico’s aan te pakken, als ze eenmaal zijn geïdentificeerd en geëvalueerd? Deze vraag is interessant omdat zo’n verplichting tegenwicht kan bieden aan de rol van toestemming, en meer in het algemeen van informationele zelfbeschikking, in de gegevensbescherming. Toestemming is snel gegeven: men klikt gemakkelijk op ‘Accepteren’ of ‘Installeren’. Het is daarom belangrijk om goed in kaart te brengen wat de verantwoordelijkheden van verwerkingsverantwoordelijken zijn, zelfs als ze zich kunnen beroepen op toestemming van de betrokkenen.

Weggevallen

De effectbeoordeling houdt in dat, als de verwerking een hoog risico vormt voor de rechten en vrijheden van natuurlijke personen, de verantwoordelijke het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens moet beoordelen. Dit betekent onder andere dat ze de risico’s voor de rechten en vrijheden van betrokken beoordelen, en maatregelen omschrijven of nemen (?) om die risico’s aan te pakken. Er staat nergens expliciet dat die maatregelen daadwerkelijk moeten worden genomen. Het werkwoord is in de tekst van de wet weggevallen! Er staat wel in de AVG dat verantwoordelijkenmoeten toetsen of de verwerking conform de effectbeoordeling wordt uitgevoerd – dus we kunnen aannemen dat het idee is dat ze die maatregelen daadwerkelijk uitvoeren. Bovendien dient de toezichthoudende autoriteit geraadpleegd te worden als de verwerking ondanks de mogelijke maatregelen een hoog risico oplevert. Die autoriteit kan vervolgens de verwerking verbieden of beperken ‘wanneer de verwerkingsverantwoordelijke het risico onvoldoende heeft onderkend of beperkt’.

Boetes voor slecht risicomanagement?

In de praktijk moet een verantwoordelijke de risico’s daarom beheersbaar houden, om het risico te vermijden dat de verwerking preventief wordt verboden. In feite introduceert de effectbeoordeling dus een verplichting om de risico’s voor de rechten en vrijheden van betrokkenen aan te pakken. Mijn scriptie gaat na of er boetes kunnen worden verbonden aan slecht risicomanagement. En meer in het algemeen wat voor reguleringssysteem de effectbeoordeling in het leven roept. In het kort zie ik de effectbeoordeling als een procedure met een aantal channels of communication, zoals de voorafgaande raadpleging, waarlangs de verantwoordelijke input krijgt voor wat hem te doen staat. Maar dit systeem veronderstelt wel dat verantwoordelijken hun eigen handelen kunnen sturen en evalueren, en dat ze open staan voor de normen en ideeën van de toezichthoudende autoriteit en van de bredere samenleving.

Met veel dank aan mijn scriptiebegeleiders, de SGOA, prof. dr. mr. Hans Franken, en aan alle andere aanwezigen, Claudia Quelle.

Verslag SGOA Academy: lessen uit recente jurisprudentie

Op 6 oktober 2016 vond onder leiding van prof. mr. dr. Serge Gijrath (Universiteit Leiden) en mr. Joost Linnemann (Kennedy Van der Laan) de SGOA Academy plaats met als thema: lessen uit recente jurisprudentie. Op een heel informele manier namen de twee cursusleiders de belangrijkste uitspraken van het afgelopen jaar door.

De uitspraken werden niet, zoals vorig jaar, gegroepeerd op thema. Er werd juist langer stil gestaan bij wat minder uitspraken. De aandacht ging vooral naar verzuim en de ‘Alert-zaken’. Na bespreking van de Mama Cash uitspraak van het Gerechtshof Amsterdam van 19 januari 2016 (ECLI:NL:GFIAMS:2016:108, IT2020) leken de deelnemers het erover eens dat rechters de eisen aan een ingebrekestelling steeds strenger lijken toe te passen en de lat om een beroep te doen op een wettelijke escape (bijvoorbeeld blijvende onmogelijkheid of de redelijkheid en billijkheid) hoog leggen. Volgens deze uitspraak was er geen sprake van een geldige ingebrekestelling door het uitblijven van een duidelijke aanmaning om alsnog binnen een redelijke termijn deugdelijk te presteren. Er was ook geen verzuim. Onder meer niet doordat er geen sprake was van een blijvende onmogelijkheid in de nakoming. Dat de werkzaamheden over een lange tijd uitgevoerd zouden moeten worden, is geen aanleiding om een ingebrekestelling achterwege te laten. Iets wat hetzelfde hof in 2012 in de SAP/Waterdrinker zaak nog wel als een blijvende onmogelijkheid aanduidde toen het ging om fundamentele wijzigingen (geheel of voor belangrijk deel vervangen van software). Zie Gerechtshof Amsterdam 9 oktober 2012, IT0903.

Tussenstand Alert-zaken

Er werd aandacht besteed aan de Alert-zaken, en dan in het bijzonder het tussenarrest van het Gerechtshof ’s-Hertogenbosch inzake TweeSteden ziekenhuis tegen Alert van 3 november 2015 (ECLI:NL:GHSHE:2015:442, IT1916). Vorig jaar is al stilgestaan bij het tussenarrest van 27 februari 2015 van Jeroen Bosch Ziekenhuis van hetzelfde gerechtshof (in andere samenstelling overigens). In het tussenarrest inzake TweeSteden heeft het hof (onder meer) voorlopig geoordeeld dat het karakter van de overeenkomst niet zozeer een ontwikkelproject, maar een leveringsovereenkomst (opdracht) is. Daardoor liggen de primaire verantwoordelijkheid en zorgplicht om een deugdelijk resultaat te bereiken bij Alert c.s. Behalve de Go-Live-datum werden de termijnen die in het implementatieplan zijn opgenomen bestempeld als niet-fatale termijnen. Maar overschrijding daarvan is niet vrijblijvend en zou de ontbinding wel degelijk kunnen rechtvaardigen. Het hof heeft de knoop nog niet doorgehakt en een deskundigenbericht gelast.

Ook was er aandacht voor het bevolen deskundigenbericht in dat tussenarrest en legden de behandelend advocaten van partijen (ondergetekende en Joost Linnemann) uit hoe partijen daar invulling aan hebben proberen te geven.

mr. Ernst-Jan van de Pas is advocaat bij Dirkzwager

‘Digitaal recht voor IT-professionals’: unieke bundel met juridische issues voor juristen en niet-juristen

In een informatiemaatschappij als de onze ontkomt niemand aan het rechtskader. Dat geldt zeker voor IT- professionals die zich bezighouden met ontwerp, ontwikkeling, oplevering, onderhoud en management van informatiesystemen en digitale infrastructuur. Het boek ‘Digitaal recht voor IT-professionals’ adresseert voor het eerst een breed scala aan juridische issues voor niet-juristen.

De juridische aspecten van elektronische computers zijn in dertig jaar tijd van een pril en exotisch onderdeel van het recht tot een breed en cruciaal rechtsdomein geëvolueerd, dat de basis vormt voor onze moderne informatiemaatschappij. En het eind van deze rechtsontwikkeling is nog niet in zicht. Ngi-NGN Special Interest Group IT en Recht stelde een unieke bundel samen ter gelegenheid van haar dertigjarig jubileum, met dertig vraagstukken op het snijvlak van digitale techniek, informatievoorziening en recht.

Regels in cyberspace

De ontwikkelingen in de digitale technologie veranderen de samenleving voortdurend en hebben daarmee ook gevolgen voor de juridische verhoudingen en de toepassing van rechtsregels tussen partijen die van ICT gebruik maken of met dit gebruik geconfronteerd worden. Traditionele juridische vraagstukken staan in het digitale tijdperk in een ander daglicht en vragen om een nieuwe invulling. Welke regels gelden er in cyberspace? Welk recht is van toepassing op elektronische transacties? Welke gevolgen heeft de Algemene Verordening Gegevensbescherming voor organisaties en hoe kan de continuïteit worden gewaarborgd bij cloudcomputing?

Van encryptie tot criminaliteit

De artikelen in de caleidoscopische jubileumbundel zijn speciaal geschreven voor IT-professionals, maar ook anderen kunnen er hun voordeel mee doen. Want het gaat om belangrijke rechtsontwikkelingen voor iedereen. De juridische onderwerpen lopen samengevat uiteen van privacy tot (agile) softwareontwikkeling, van online-handel tot e-Health, van slimme steden tot sjoemelsoftware, van verzekering tot sociale media, van encryptie tot criminaliteit, van cookies tot fintech, van cloudcomputing tot big data, van mislukte automatisering tot conflictoplossing, en meer.

Victor de Pous, in 1986 medeoprichter van de SIG, Sectie Computerrecht, was verantwoordelijk voor de redactie van deze bundel. Aan de bundel werkten diverse associates van de SGOA mee, onder wie de huidige secretaris (oud-SIG voorzitter) Peter van Schelven.

Meer informatie over ‘Digitaal recht voor IT-professionals’ krijgt u bij uitgeverij deLex, www.deLex.nl

Natascha van Duuren, voorzitter SIG IT-Recht Ngi-NGN
Jacques Honkoop, bestuurslid SIG IT-Recht Ngi-NGN en SGOA associate.

Geen agentuurovereenkomst SURFmarket voor de antiplagiaatsoftwarelicentie

Hof Amsterdam 29 november 2016, IT 2183 (Turnitin tegen Surfmarket)

Contractenrecht. SURFmarket heeft als inkooporganisatie voor onderwijsinstellingen een overeenkomst gesloten met Turnitin, leverancier van antiplagiaatsoftware. De overeenkomst wordt al snel door Turnitin beëindigd, waar SURFmarket in kort geding met succes tegen op komt. In spoedappel komt onder meer de vraag aan de orde of de overeenkomst tussen SURFmarket en Turnitin een agentuurovereenkomst is. Het hof oordeelt van niet, nu SURFmarket zich niet aan Turnitin heeft verbonden om tegen beloning te bemiddelen bij de totstandkoming van overeenkomsten met de onderwijsinstellingen. Een interne e-mail van SURFmarket, waarin zij onderzoekt of het mogelijk is dat onderwijsinstellingen bepaalde prijsinformatie met haar delen, levert geen grond op voor opzegging of ontbinding van de overeenkomst door Turnitin.

Geen maatschap ontstaan door samenwerking bij bitcoinbetaalplatform, geen beheersregeling als bestaan gemeenschap nog niet zeker is

Rechtbank Midden-Nederland 24 december 2015 (PikaPay I); Rechtbank Midden-Nederland 18 mei 2016 (PikaPay II); Beschikking Ktr. Rechtbank Amsterdam 16 november 2016, IT 2181 (PikaPay III) Bitcoin.

Dhr. Bontje begon met een zakenpartner enkele jaren geleden aan de ontwikkeling van een betalingsplatform voor bitcoin. Het platform, PikaPay, moest het mogelijk maken om via Twitter bitcoins aan elkaar over te maken. Een bij PikaPay aangesloten gebruiker kon, theoretisch, 0.5 bitcoin overmaken aan het Twitter-account van de minister-president @MinPres. De daadwerkelijke betaling verliep daarna niet via Twitter, maar via PikaPay. Hoewel het plan was dat partijen intensief gingen samenwerken en overeenkomsten sloten om bepaalde vennootschappen op te richten, is het van zo’n samenwerking (of de oprichting van deze vennootschapen) nooit gekomen. Na ongeveer 2 jaar proefdraaien constateerde Bontje dat het platform niet aantrekkelijk genoeg was voor de markt. Hij besloot de samenwerking te beëindigen. Partijen zijn daarna niet tot een vergelijk gekomen. Omdat het onbeheerd laten van een betalingsplatform onverstandig leek, heeft Bontje in een periode van 2 jaar PikaPay afgesloten. De kern van het vonnis d.d. 24 december 2015 ligt in r.o. 4.4, derde en vierde alinea: het enkele samenwerken en het opstellen van overeenkomsten tot oprichting van vennootschappen (waar geen uitvoering aan is gegeven) veronderstelt nog geen maatschap. De kern van het vonnis d.d. 18 mei 2016 ligt in r.o. 4.6: een executant die een uitkering beslaat via een derdenbeslag (op de bankrekening waar de uitkering gestort werd) maakt geen misbruik van bevoegdheid ex. art. 3:13 BW als de geëxecuteerde nog bitcoin onder zich houdt. De kern van de beschikking van 16 november jl. is ligt in r.o. 8: een verzoek tot beheersregeling ex. art. 3:168 lid 2 BW kan niet worden getroffen als nog niet vaststaat dat er sprake is van een gemeenschappelijk auteursrecht (een stelling die voor het eerst ter zitting werd opgeworpen).

Boete KPN voor onvoldoende beveiliging klantgegevens blijft in stand

CBb 16 november 2016, IT 2173; (KPN – ACM)

Persoonsgegevens. Bestuurlijke boete. KPN beroep had beroep aangetekend tegen een boete van ACM. Maar de boete blijft in stand. De zorgplicht die bedrijven hebben om klantgegevens goed te beveiligen, wordt hiermee nog eens bevestigd. ACM legde de boete op omdat de systemen waarin KPN persoonsgegevens van klanten opslaat, onvoldoende beveiligd zijn. Op grond van de Telecomwet heeft KPN de plicht om persoonsgegevens en de persoonlijke levenssfeer van klanten voldoende te beschermen, zodat derden er geen toegang toe hebben.

Softwaregebruik na het beëindigen van de samenwerking

Rechtbank Gelderland 24 augustus 2016, IT 2156; (DEVINE SOFTWARE DEVELOPMENT B.V. tegen gedaagde)

Het gaat in deze zaak onder andere om de vraag of het gebruik van software na het beëindigen van de samenwerking onrechtmatig is. Ook is de vraag aan de orde of het achterhouden van de boekhouding onrechtmatig is. Van onrechtmatig gebruik van de software door ondernemingen van gedaagde is sprake als het gebruik van de software via anderen loopt dan DSD. Dat gedaagde ontkent dat het pakket nog door zijn ondernemingen of door derden met zijn toestemming wordt gebruikt, is niet voldoende om de vordering van DSD af te wijzen. DSD krijgt de gelegenheid de vordering te onderbouwen en te specificeren en bij volgehouden betwisting bewijs bij te brengen.

Ontbinding overeenkomst omdat afspraken niet kunnen worden nagekomen

Hof Den Haag 6 september 2016, IT 2152; (Proximedia tegen X)

Informatie. Contract. Tijdens een verkoopgesprek heeft een vertegenwoordiger diverse toezeggingen gedaan die niet nagekomen kunnen worden, zoals een gratis laptop, gratis website en een pinautomaat. Nadat cliënte de getekende overeenkomst had doorgelezen, heeft ze een paar dagen na ondertekening gebeld en aangegeven dat ze deze overeenkomst wilde beëindigen. Tijdens dit telefoongesprek heeft Proximedia laten weten dat de vertegenwoordiger die de overeenkomst met cliënte had gesloten inmiddels was ontslagen, omdat hij onjuiste informatie verstrekt aan klanten. Ook werd meegedeeld dat tussentijdse beëindiging van de overeenkomst niet mogelijk was: het contract kon wel worden omgezet naar een contract met alleen een website, dus zonder laptop. Omdat was medegedeeld dat tussentijdse beëindiging niet mogelijk was – en alleen daarom – ging cliënte akkoord met de omzetting van de overeenkomst. Nu de telefonische toezeggingen niet konden worden nagekomen, kan cliënte naar oordeel van het hof de overeenkomst op grond van dwaling vernietigen.

Nieuwe ARBIT, ARIV en ARVODI 2016

Staatscourant 2016-51478. IT 2153

De Algemene Rijksvoorwaarden bij IT-overeenkomsten 2016 (ARBIT 2016), de Algemene Rijksinkoopvoorwaarden 2016 (ARIV-2016) en de Algemene Rijksvoorwaarden voor het verstrekken van opdrachten tot het verrichten van diensten 2016 (ARVODI-2016) zijn gepubliceerd en van kracht. Besluit van de Minister-President, Minister van Algemene Zaken van 23 september 2016, nr. 3172110 houdende vaststelling van de Algemene Rijksvoorwaarden bij IT-overeenkomsten 2016 (ARBIT 2016), de Algemene Rijksinkoopvoorwaarden 2016 (ARIV-2016) en de Algemene Rijksvoorwaarden voor het verstrekken van opdrachten tot het verrichten van diensten 2016 (ARVODI-2016)

Geen schuld bij verlies back-up door ongelukkige samenloop van omstandigheden

Gerechtshof Den Haag 27 september 2016, IT 2147; (Alhra tegen IT Creation B.V.)

Overeenkomst computersysteembeheer. Gegevens gaan verloren en er is geen (bruikbare) back-up. Alhra heeft ITC gevorderd dat de rechtbank voor recht verklaart dat ITC aansprakelijk is voor alle schade die zij heeft geleden en gaat lijden als gevolg van het verlies van haar database en het wegvallen van haar softwaresysteem. Grondslag hiervoor is dat ITC te kort is geschoten in de nakoming van de overeenkomst van opdracht om alle voorkomende werkzaamheden aan het computersysteem van Alhra te verrichten, waardoor bij de werkzaamheden van ITC dataverlies (en dus schade voor Alhra) is opgetreden. Maar volgens het hof gaat dit niet op: het was een ongelukkige samenloop van omstandigheden en dat is te weinig om te kunnen concluderen dat sprake was van opzet of grove schuld. Het is volgens het hof nog niet duidelijk of degene die de werkzaamheden bij Alhra uitvoerde opzettelijk een onjuist commando heeft gegeven. Het geven van een onjuist commando is niet een tekortkoming die grove schuld oplevert.

Via satelliettechnologie gewiste gegevens ex aequo et bono gewaardeerd op € 10.000,-

Rechtbank Rotterdam 21 september 2016, IT 2143; (IAP tegen verzekeraars)

Verzekeringszaak over waardebepaling IE-rechten. IAP leverde diensten op het gebied van cyber- en creditcardsecurity voor onder meer creditcardmaatschappijen. De PCI-programmamanager en twee medewerkers verdwenen in Tunesië met laptops van IAP. Op de laptops stonden vertrouwelijke klantgegevens en gegevens waarop IAP de IE-rechten had. Via satelliettechnologie heeft IAP de inhoud van deze laptops op afstand vernietigd. Dat IAP de gegevens heeft vernietigd heeft het causaal verband niet teniet gedaan; IAP was daartoe gehouden, gelet op de vertrouwelijke aard van die gegevens. Het relateren van de waarde aan het aantal bestede uren is geen geschikte maatstaf om de waarde van deze IE-rechten te bepalen. Het gaat om de waarde in het economisch verkeer van die kennis. Dat die, rechtstreeks, zou afhangen van het aantal bestede uren is onvoldoende aannemelijk. Bij gebreke van een duidelijke maatstaf, van kenbare gegevens, zoals activering op de balans, en van een inhoudelijk standpunt zijdens verzekeraars over de toe te kennen waarde, waardeert de rechtbank deze rechten ex aequo et bono op € 10.000,-.

Koppelverkoop van een computer met voorgeïnstalleerde software is geen oneerlijke handelspraktijk

HvJ EU 7 september 2016, IT 2125; (Deroo-Blanquart tegen Sony)

Koppelverkoop. Oneerlijke handelspraktijk. Verzoeker Vincent Deroo-Blanquart koopt in december 2008 een computer met voorgeïnstalleerde software bij verweerster Sony France (nu Sony Europe). Hij vraagt verweerster tevergeefs om terugbetaling van de kosten van de meegeleverde software en begint een procedure. Hij stelt dat dit verboden koppelverkoop is, een oneerlijke handelspraktijk. HvJ EU: Een handelspraktijk bestaande in de verkoop van een computer met voorgeïnstalleerde software zonder de mogelijkheid voor de consument om hetzelfde model computer zonder voorgeïnstalleerde software te kopen, vormt als zodanig geen oneerlijke handelspraktijk: (...)

Colofon

Hoofdredactie: Joost Linnemann, Kennedy Van Der Laan
Eindredactie: de nieuwsbrief wordt samengesteld door SGOA in samenwerking met deLex.