|
Geachte lezer,
In deze editie van onze nieuwsbrief onder meer aandacht voor het volgende:
|
 |
|
Verbondenheid
|
De afgelopen maanden waren bijzonder. Voor iedereen. Ook in de ICT deden zich ontwikkelingen voor die pre-corona onmogelijk leken, in elk geval niet in dit tempo. Traditionele organisaties werden gedwongen tot een versnelde digital transformation. En dankzij Zoom, Teams en Meet bleek minder reizen ineens wél mogelijk. Ondanks het ontbreken van fysiek contact ontstond er een grotere verbondenheid tussen mensen: digitaal en gevoelsmatig voelde iedereen zich meer connected. Die toegenomen solidariteit inspireerde Microsoft tot het gratis ter beschikking stellen van Teams voor Office-gebruikers die daar nog geen licentie voor hadden.
|
|
 |
Afhankelijkheid
Toen de maatregelen werden versoepeld, begonnen sommigen de onderlinge verbondenheid te missen. Maar aan de andere kant, te veel verbondenheid kan ook leiden tot - ongezonde - afhankelijkheid. Over dat onderwerp gaat de bijdrage van Lizanne van der Hoeven (Stibbe) en Judica Krikke (Stibbe/SGOA-arbiter): hoe voorkom je dat ICT-leveranciers misbruik maken van hun machtspositie ten opzichte van klanten die afhankelijk zijn van hun software, clouddiensten of transactieplatforms?
Eén team
En over transformation gesproken: ook binnen het SGOA-bestuur is van alles veranderd. Nu SGOA-associate Joost Linnemann is toegetreden tot het bestuur, heeft medebestuurslid Peter van Schelven hem voor deze editie stevig aan de tand gevoeld zodat u Joost goed leert kennen. Hanneke Slager heeft na veel succesvolle jaren de voorzittershamer aan mij doorgegeven. Of in Zoom-termen: op mijn schouders rust de schone taak om de komende tijd als host op te treden.
Samen met het bestuur en het bureau gaan we ervoor zorgen dat de participants van de SGOA-community zich als één team verbonden voelen om ICT-geschillen bij de SGOA te laten landen en deze efficiënt en deskundig tot een goed einde te brengen. Bij voorkeur doen we dat nog altijd ouderwets in levenden lijve, samen met de partijen. Maar sinds de afgelopen maanden weten we dat we - als het moet - ook met video-conferencing een heel eind komen.
Chris Barbiers, voorzitter SGOA
|
|
|
Joost Linnemann in 5 vragen
Peter van Schelven is nieuwsgierig en stelt 5 vragen aan het nieuwe bestuurslid Joost Linnemann.
1. Joost, je bent onlangs toegetreden tot het bestuur van de SGOA. Wat bewoog je?
 |
|
Ik bestookte het bestuur en het bureau al een tijdje met suggesties om de werkwijze en de procedures te moderniseren. Want een arbitrage-instituut dat zich richt op technologie moet zelf ook technologisch en inhoudelijk vooruitstrevend zijn. Maar ik wil niet alleen roepen vanaf de zijlijn. Toen het bestuur ontvankelijk bleek voor mijn suggesties en ik de kans kreeg om zelf een bijdrage te leveren, heb ik geen moment geaarzeld.
|
2. Je bent in het dagelijkse leven CEO bij Kennedy Van der Laan, advocatenkantoor in Amsterdam. Mooie job?
Zeker! Nog elke dag vind ik het ongelooflijk dat een kantoor als Kennedy Van der Laan bestaat. Een plek waar leuke en slimme mensen met een passie voor hun vak samenwerken om voor mooie cliënten betekenisvolle dingen te doen. Ik vind het oprecht een eer daar leiding aan te geven. Het is ook een bijzondere tijd om deze baan te hebben. Toen het kantoor werd opgericht waren er een paar belangrijke uitgangspunten. Oog voor elkaar, voor de mens achter de cliënt, voor de maatschappij. De wereld een beetje beter maken door op het hoogste niveau advocatuur te bedrijven. Destijds waren we met deze ideeën een buitenbeentje. Tegenwoordig is elke organisatie, en zijn dus ook onze (potentiële) cliënten, met deze thema’s bezig. Kennedy Van der Laan is dan ook relevanter dan ooit.
3. Je bent in Nederland een van de oude rotten op het vakgebied van IT en recht. Hoe lang al en welke ontwikkelingen zie je?
Ik loop inderdaad al een tijdje mee. Ik begon mijn carrière als IT-advocaat op het moment dat Tim Berners-Lee bij CERN in Genève aan de wieg stond van het world wide web. Sindsdien zijn er natuurlijk eindeloos veel technologische ontwikkelingen geweest. Maar misschien is de belangrijkste ontwikkeling voor IT-juristen in al die tijd wel geweest dat de verdieping waar wij ons bij de cliënt moeten melden, veranderd is. Toen ik begon zat ons natuurlijke aanspreekpunt, de systeembeheerder, weggestopt in de kelder. Tegenwoordig gaat de raad van bestuur over technologiekwesties, en moeten we op de bovenste verdieping zijn. Dat is echt een radicale verandering: technologie is tegenwoordig een cruciaal onderdeel van de strategie van ongeveer elke organisatie. Dat betekent ook dat de technologiegeschillen die aan de SGOA worden voorgelegd voor de betrokken organisaties van veel groter belang zijn dan vroeger.
4. Wat wil je als bestuurslid bij de SGOA inbrengen?
Ik vind het belangrijk dat we innoveren. Daar wil ik een bijdrage aan leveren. Verder denk ik dat er nog wat te winnen is door tussen arbiters en mediators nog meer en structureel best practices te delen. En we moeten goed blijven kijken naar de behoeftes van onze “klanten” en ervoor zorgen dat ons dienstenaanbod daar goed bij blijft aansluiten.
5. Zie jij nieuwe ontwikkelingen in de behandeling van IT-geschillen?
Zeker in tijden van corona zien we, niet alleen bij de behandeling van geschillen, dat virtueel werken steeds gewoner wordt. Aan de ene kant is er dus een toename van inzet van technologie en een ontwikkeling naar online dispute resolution. Misschien wat paradoxaal, maar aan de andere kant zie ik juist een toename van aandacht voor de relationele kant van geschillen. Het is niet voor niks dat mediation zo’n hoge vlucht neemt. Maar ook in arbitrage denk ik dat aandacht voor de menselijke en organisatorische kant een belangrijke trend is. Juist in ingewikkelde technologiegeschillen blijft het belangrijk dat arbiters en mediators kennis hebben van technologie en technologieprojecten. Alleen dan kunnen ze snel doorgronden welk deel van een geschil om de technologie gaat en waar het meer gaat om geschonden vertrouwen of een beschadigde relatie.
Peter van Schelven is bestuurslid en arbiter bij SGOA en lid van de Privacy & Security Kamer
|
|
|
Zo snel is Rapid Conflict Resolution
In een tijd waarin veel bedrijven kampen met de gevolgen van COVID-19, voelt bijna niemand voor een langdurige rechtszaak. Bedrijven die hun rekeningen niet tijdig kunnen betalen en bedrijven die niet tijdig betaald krijgen, willen op heel korte termijn een oplossing. Dat kan met Rapid Conflict Resolution (RCR), een dienst van de SGOA voor de kleinere IT- en betalingsgeschillen.
Binnen één dag
Twee ervaren conflictmoderators (een IT-jurist en een IT-deskundige) met mediation- en onderhandelingsvaardigheden begeleiden partijen binnen één dag naar een gedragen oplossing. In plaats van uitgebreide stukken op te leveren beantwoorden de partijen een korte vragenlijst. De moderators krijgen zo tijdens de voorbereiding snel en gericht inzicht in de aard en omvang van het geschil. RCR is geschikt voor geschillen met een financieel belang onder de € 50.000. Het streven is om binnen twee weken na aanmelding een RCR-traject te hebben afgerond, inclusief een vaststellingsovereenkomst. RCR heeft een vaste totaalprijs van € 3.995, exclusief btw, in gelijke delen te dragen door de partijen.
|
|
|
Het raakvlak van security en privacy
|
De SGOA Academy van 18 juni had als thema: het raakvlak van security en privacy. Irvette Tempelman doet verslag.
Irvette Tempelman is senior beleidssecretaris Privacy, Consumentenbeleid en Privaatrecht bij VNO-NCW/MKB Nederland.
|
|
 |
Security Monitoring
Christiaan Prickaerts van FOX-IT is SGOA-arbiter en lid van de Privacy & Security Kamer. Hij ging op 18 juni in op de privacyaspecten van security monitoring. Daarmee breng je – kort gezegd - de veiligheid en kwetsbaarheden van (een deel van) een IT-infrastructuur in kaart. Zodat je daar na analyse adequaat op kunt reageren en cybersecurityincidenten kunt voorkomen. Security is gestoeld op drie pijlers: vertrouwelijkheid, integriteit en beschikbaarheid. Security en privacy zijn dus nauw verweven. Vertrouwelijkheid is het beschermen van data tegen ongeautoriseerde inzage. Integriteit is het beschermen van data tegen ongeautoriseerde wijziging. En beschikbaarheid is het beschermen van de beschikbaarheid van data.
Reactief en preventief
Een securityanalist monitort dus niet alleen reactief, om gegevens te verzamelen ná een incident, maar ook preventief, om toekomstige incidenten te voorkomen. Logbestanden vormen het fundament voor (pro- en re)actief incidentonderzoek. Dit betekent dat een securityanalist soms dagelijks tot 1.000.000 loggegevens analyseert. Christiaan opperde dat AI hier uitkomst kan bieden. Met AI worden gegevens als gebruikersnamen, e-mailadressen, IP-adressen, URL’s, type communicatie en inhoud van de communicatie, mailprogramma’s, bestandsnamen, bestandslocaties, programma’s en soort toegang verzameld en geïndexeerd. Er worden correlaties gelegd en daarna worden de gegevens opgeslagen voor historische analyses van security-incidenten, compliance-rapportages en bewijsvoering. De tijd tussen een incident, denk aan een inbraak, en de detectie daarvan ligt rond de 100 dagen. Christiaan gaf aan dat je eigenlijk loggegevens nodig hebt over een periode van 6 maanden om goed forensisch onderzoek te kunnen doen naar een hack. Voor forensisch onderzoek is een bewaartermijn van 1 week dus te kort.
Privacy & Security Kamer
Peter van Schelven gaf een korte toelichting op de functie van de Privacy & Security Kamer die de SGOA in 2019 speciaal opzette voor B2B- en B2G-geschillen. Een mooie aanvulling op de specifieke deskundigheid van de SGOA. De combinatie van juridische en technische deskundigheid én het vertrouwelijke karakter van de zittingen zijn een grote pre. Vooral als het gaat om zaken over het beveiligingsbeleid en de beveiligingsmaatregelen van een organisatie. Want als je die in de openbaarheid brengt, gooi je het kind met het badwater weg.
Lessen uit de rechtspraak
Peter besprak de lessen die we kunnen trekken uit uitspraken over informatiebeveiliging. In de zaak O’Cliance – X bijvoorbeeld oordeelde de rechtbank Amsterdam als volgt: de leverancier had de opdracht moeten weigeren wegens onuitvoerbaarheid, ook al gaf de klant expliciet aan dat hij geadviseerde beveiligingsmaatregelen te duur vond en niet wilde afnemen. De leverancier had – ook al is het een kleine partij – met alternatieven moeten komen en moeten waarschuwen voor de risico’s. De rechter benadrukte dat 100% betrouwbaarheid niet kan worden verwacht. Maar nu was afgesproken dat de leverancier een volledige IT-infrastructuur zou aanleggen, had de leverancier wel een zorgplicht en de verantwoordelijkheid om adequate beveiligingsmaatregelen te nemen. De devil zit dus, als gewoonlijk, in the detail. Wees voorzichtig met de opdrachtomschrijving en ga zorgvuldig om met je informatieverplichtingen als leverancier.
Van een ICT-bedrijf mag je meer verwachten
In de zaak HostSlim – Cogent oordeelde het Hof Arnhem Leeuwarden dat Cogent HostSlim niet had hoeven wijzen op de optie om een digitale wasstraat af te nemen. En ook niet verplicht was om HostSlim tegen ddos-aanvallen te beschermen. HostSlim is namelijk ook een ICT-bedrijf. En het Hof verwacht van een ICT-bedrijf meer dan gemiddelde kennis en kunde over bijvoorbeeld de bescherming tegen ddos-aanvallen. De rechtbank Den Haag oordeelt overigens dat een ddos-aanval cybercriminaliteit is die zonder meer gekwalificeerd kan worden als geweld in de zin van artikel 317 Sr.
Europese boetebesluiten
Ook aan bod kwam een uitspraak van het College van Beroep voor het Bedrijfsleven van 16 november 2016 (KPN-ACM). Over een niet-geavanceerde hack op het abonneebestand van KPN. Het College oordeelde dat de minimaal benodigde beveiligingseisen waren geschonden en dat KPN niet aan de wettelijke zorgplicht voldeed. Of personen door de hack al dan niet schade hadden geleden, deed er volgens het College niet toe. Peter sloot af met de boetebesluiten van toezichthouders in Europa. In de Europese Unie zijn er (op moment van de presentatie) 73 boetes uitgedeeld wegens schending van securityverplichtingen onder de AVG. De boetes variëren van € 500 in Roemenië tot € 204.600.000 in de UK. Spraakmakend zijn de boetes van € 110.000.000 (UK-Marriott Int.), € 204.000.000 (UK- British Airways) en € 27.800.000 (Italië – Telecom-zaak). Peter verwees ook naar de boete van € 20.000 voor Knuddels.de. Bij een hack waren de e-mailadressen en wachtwoorden van 330.000 gebruikers buitgemaakt: een schending van de security omdat de wachtwoorden niet versleuteld waren opgeslagen. Een boete van € 20.000 is relatief laag. Dat Knuddels.de na het ontdekken van de hack de ICT-beveiliging op orde bracht, aanzienlijk extra investeerde in security en constructief meewerkte aan het onderzoek van de toezichthouder, heeft effect gehad op de hoogte van de boete.
|
|
|
Webinar SGOA Academy 5 november 2020: IT-jurisprudentie en schadevergoeding bij AVG-schendingen
Op 5 november organiseert de SGOA in samenwerking met deLex de jaarlijks terugkerende SGOA Academy. Een webinar dit keer, over IT-jurisprudentie en schadevergoeding bij AVG-schendingen. Bent u erbij?
Sprekers: Reinout Rinzema en Christiaan Alberdingk Thijm
Rinzema bespreekt recente jurisprudentie op het vlak van IT-projecten. Christiaan Alberdingk Thijm de vraag wanneer er recht op schadevergoeding voor een AVG-schending bestaat.
Praktisch
Datum: 5 november 2020
Tijd: 15.30 – 17.30 uur, online
Kosten: € 195,00 (excl. btw)
Accreditatie: 2 opleidingspunten en een certificaat
Inschrijven kan hier.
|
|
|
Rechtsontwikkelingen voor ICT-afnemers in een afhankelijke positie
Door Judica Krikke, SGOA-arbiter en advocaat/partner Stibbe & Lizanne van der Hoeven, advocaat Stibbe
ICT is een jong en dynamisch vakgebied, waar het bestaande rechtskader omheen moet worden geplooid als een jas die wordt uitgelegd. Dat gaat stapje voor stapje. In de afgelopen decennia is bijvoorbeeld de de wettelijke zorgplicht in de IT ingevuld. Die zorgplicht is, met oog voor de vaak forse kenniskloof tussen leverancier en afnemer, stevig. Naast deze kenniskloof typeert ook afhankelijkheid de marktverhoudingen in ICT.
Machtspositie en marktmacht
|
Door gebruik van een ICT-oplossing ontstaat per definitie een bepaalde afhankelijkheid, zeker waar zo’n oplossing kernprocessen van de organisatie ondersteunt. Dit raakt al snel aan de continuïteit van de organisatie. En vervanging van eenmaal gekozen oplossingen is vaak (uiterst) kostbaar en tijdrovend. Deze afhankelijkheid creëert een stevige positie voor leveranciers, klein of groot. Soms bestaan er bovendien bijna geen alternatieven, waardoor de aanbieder niet alleen een machtspositie heeft ten opzichte van de afnemer, maar ook aanmerkelijke marktmacht. Met het risico op misbruik, zoals de praktijk laat zien.
|
|
 |
Wurggreep van de softwarereuzen
Iedereen kent wel voorbeelden van agressieve audits waar potentiële miljoenenclaims voor softwaregebruik uit de lucht komen vallen, gebaseerd op slordig onderzoek en onduidelijke meetmethodes. En net zo makkelijk worden zulke voorgespiegelde aanspraken vervolgens weer “weggedeald” door aanschaf van nog meer producten van dezelfde leverancier. Die leverancier beroept zich op vaak onnavolgbare voorwaarden die hij zelf heeft opgesteld, en daarbovenop op het pittige handhavingskader van het auteursrecht. Al met al is er zo een opstapeling van macht en struikelblokken waar de markt amper nog doorheen komt. Kleine ondernemingen kunnen zich tegen onereuze voorwaarden verweren via het algemene voorwaardenrecht. Maar vaak hebben ze daar geen middelen voor en bovendien durven ze dat meestal niet door hun afhankelijke positie. Grotere ondernemingen en overheden kunnen een steviger dispuut normaliter wel aan, maar ook hun positie is kwetsbaar. Bovendien zijn hun rechtsmiddelen beperkt en onzeker. Zij missen de toegang tot het algemene voorwaardenrecht. Ook de mogelijkheid van indirecte toepassing daarvan, via de zogenaamde reflexwerking wordt hen keer op keer ontzegd: grote organisaties moeten hun eigen boontjes kunnen doppen, want zij hebben tenslotte professionele inkoopafdelingen en/of grote IT-afdelingen. Het uitgangspunt is een equality of arms, die door de afhankelijkheid nu juist helemaal ontbreekt. Ook zeer professionele, grote ondernemingen kunnen door zo’n afhankelijke positie en óók door een forse kenniskloof in de klem raken. Het feit dat het zelfs voor grote organisaties vaak niet of amper mogelijk is om tot gebalanceerde voorwaarden te komen, toont onmiskenbaar aan dat de markt hier niet goed werkt. Het leidt tot een roep van de markt, door het CIO-platform Nederland recent verwoord als de “wurggreep van de softwarereuzen”. (Zie artikelenreeks in het FD op 5 oktober, 15 oktober en 18 oktober 2019).
 |
|
Keerpunt
Het is dringend tijd voor correctie in deze markt. Wie roept – en dit hoor je in deze discussie altijd – dat afnemers beter moeten opletten, ziet over het hoofd dat het ondoenlijk is om de veelheid van volstrekt onleesbare voorwaarden toe te passen. Wie vindt dat we van deze problematiek binnenkort af zijn omdat we naar de cloud gaan – ook een tegengeluid – miskent dat afhankelijkheid en marktmacht echt niet oplossen in de cloud, hoe fluïde het concept ook mag klinken. Een snelle stap kan de marktbalans meteen ten goede komen: de eerste de beste uitspraak waarin klip en klaar wordt benoemd dat ook grote organisaties via de reflexwerking het algemene voorwaardenrecht kunnen inroepen, biedt het begin van rechtszekerheid. Het kan het keerpunt zijn in de neerwaartse spiraal van rechtsonzekerheid. Daar hoeft dan geen wetgever aan te pas te komen.
|
Belgische wet
Bij onze zuiderburen is het wachten op het eerste vonnis op basis van een gloednieuwe wet die de IT-markt op het lijf geschreven lijkt. Op 4 april 2019 werd in België de Wet (…) met betrekking tot het misbruiken van economische afhankelijkheid, onrechtmatige bedingen en oneerlijke marktpraktijken tussen ondernemingen aangenomen, waarmee drie sets van nieuwe (verbods)regels in B2B-relaties worden gereglementeerd:
- Een verbod op misbruik van economische afhankelijkheid (inwerkingtreding oorspronkelijk 1 juni 2020, maar uitgesteld tot uiterlijk 1 december 2020)
- Een verbod op oneerlijke bedingen, inclusief een zwarte en grijze lijst (inwerkingtreding 1 december 2020 voor toekomstige contracten of wijzigingen of verlengingen van bestaande contracten)
- Een verbod op oneerlijke marktpraktijken (inwerkingtreding 1 september 2019).
Geknipt voor de IT-markt
Het initiatief tot de wet werd genomen ter bescherming van de onderhandelingspositie van kleinere landbouwers, die soms sterk afhankelijk zijn van grote afnemers. Maar de wet wordt veel breder toegepast: de verbodsbepalingen gelden (specifieke uitzonderingen daargelaten) ongeacht de sector en gelden voor alle ondernemingen, ongeacht hun grootte. Het is bijna onvoorstelbaar dat deze wet niet speciaal voor de IT-markt is geschreven. De definitie van economische afhankelijkheid sluit precies aan bij de hiervoor besproken problematiek:
[een] positie van onderworpenheid van een onderneming ten aanzien van één of meerdere andere ondernemingen gekenmerkt door de afwezigheid van een redelijk equivalent alternatief, beschikbaar binnen een redelijke termijn en onder redelijke voorwaarden en kosten, die deze of elke van deze ondernemingen toelaat om prestaties of voorwaarden op te leggen die niet kunnen verkregen worden in normale marktomstandigheden.”
De wet verbiedt zonder omhaal ieder misbruik van een dergelijke afhankelijkheidspositie, zoals onbillijke contractuele voorwaarden.
Manna uit de hemel
Ook is er een verbod op oneerlijke bedingen, dat niet alleen geldt voor bedingen in algemene voorwaarden, maar zelfs voor bedingen waarover tussen partijen is onderhandeld. De wet geeft een (niet-limitatieve) zwarte en grijze lijst van bedingen die onrechtmatig zijn (resp. vermoed worden onrechtmatig te zijn) en regelt daarnaast in zijn algemeenheid dat ieder beding in een zakelijke overeenkomst onrechtmatig is dat (alleen of in samenhang met andere bedingen) een kennelijk onevenwicht schept tussen de rechten en plichten van de partijen. De wet beoogt ook een einde te maken aan warrige en ondoorzichtige voorwaarden, door te bepalen dat bedingen duidelijk en begrijpelijk moeten worden opgesteld. Bij de beoordeling van de onrechtmatigheid van een beding wordt met deze verplichting rekening gehouden. Het moet voor de IT-afnemer die zich gevangen voelt in een wurggreep van een leverancier als manna uit de hemel zijn.
Forse tik
In een van de eerste commentaren op de wet is aangegeven dat de afnemer hier ineens wel erg makkelijk verhaal wordt geboden. Het is inderdaad een hele mand vol in één keer. Tegelijkertijd laat deze wet zien dat hier is onderkend dat juist zo’n afhankelijke positie om correctie door het recht kan schreeuwen. En dat recht dat krom is geraakt, misschien soms een forse tik verdient om de balans weer te herstellen.
|
|
|
JURISPRUDENTIE
|
|
|
IT 3423: SGOA: Overeenkomst rechtsgeldig ontbonden door Leverancier
SGOA arbitraal vonnis, IT 3423; (Leverancier tegen Afnemer)
Telecommunicatierecht. Contractenrecht. Afnemer en Leverancier zijn een overeenkomst aangegaan voor de implementatie van Microsoft Dynamics NAV. Op een bepaald moment stopt Afnemer met de betaling van de facturen van Leverancier, omdat Leverancier te kort zou zijn gekomen in de nakoming van de overeenkomst. Leverancier vordert veroordeling van Afnemer tot betaling van de facturen en vergoeding van de schade, onder meer vanwege gederfde omzet. De ingebrekestelling van Afnemer bevatte geen termijn en was onvoldoende concreet geformuleerd, waardoor Leverancier niet in verzuim is geraakt. Bovendien waren de tekortkomingen door Leverancier niet wezenlijk genoeg om de betalingsverplichting op te schorten. De overeenkomst is door Leverancier rechtsgeldig ontbonden. De vorderingen van Leverancier worden toegewezen. Afnemer zal worden veroordeeld in de kosten van arbitrage.
|
|
|
IT 3224: Geen verplichting de verhuizing op ICT-gebied voor te bereiden
Hof Amsterdam 7 juli 2020, IT 3224; ECLI:NL:GHAMS:2020:1987 (Appellante tegen Geïntimeerde) Civiel recht. Verbintenissenrecht.
Geïntimeerde heeft een ICT-bedrijf. Appellante is strafrechtadvocate en neemt sinds 2011 telefoon-, internetdiensten en een domeinnaam af van geïntimeerde. In 2016 verhuist het advocatenkantoor. Om vanaf verschillende locaties te kunnen werken installeert geïntimeerde een NAS-box. Er treden problemen op en appellante klaagt meermaals bij geïntimeerde over de werking van de diensten. Uiteindelijk trekt zij de opdracht in en weigert een deel van de facturen te betalen. Geïntimeerde spant een bodemprocedure aan. De kantonrechter veroordeelt appellante tot betaling van het volledige factuurbedrag. Appellante grieft in hoger beroep onder andere dat geïntimeerde tekort is geschoten in de nakoming van zijn verplichtingen. Maar het hof oordeelt dat geïntimeerde geen vergaande verplichting heeft de verhuizing op ICT-gebied voor te bereiden, te begeleiden of daarin te adviseren. De relatie tussen partijen hield niet meer in dan dat geïntimeerde incidenteel diensten aan appellante leverde. Appellante stelt dat de bewijslast kan worden omgedraaid, omdat geïntimeerde deskundig is op ICT-gebied. Hier wordt niet in meegegaan. De deskundigheid is onvoldoende rechtvaardiging voor afwijking van de hoofdregel ex art. 150 Rv. De grieven falen. Het vonnis wordt bekrachtigd en appellante wordt veroordeeld in de kosten van het geding in hoger beroep.
|
|
|
IT 3225: Data Pro Code goedgekeurd door AP Autoriteit persoonsgegevens
Voor het eerst heeft de Autoriteit Persoonsgegevens (AP) een gedragscode voor verwerkers onder de Algemene Verordening Gegevensbescherming (AVG) goedgekeurd: de Data Pro Code van branchevereniging NLdigital. Hiermee worden ICT-bedrijven die aangesloten zijn bij NLdigital op een laagdrempelige manier geholpen bij hun AVG-compliance. In de gedragscode worden open normen uit de AVG concreet uitgewerkt. NLdigital stelt nog een toezichthoudend orgaan in dat geaccrediteerd moet worden door het AP. Over de criteria waaraan het toezichthoudend orgaan moet voldoen adviseert het European Data Protection Board (EDPB). Het AP verwacht dit jaar nog uitsluitsel.
|
|
|
IT 3218: Inspanningsverplichting niet geschonden
Hof Amsterdam 14 juli 2020, IT 3218; ECLI:NL:GHAMS:2020:2016 (Blue Ocean tegen X)
Blue Ocean en X, allebei ICT-bedrijven, sloten een overeenkomst voor de ontwikkeling en exploitatie van een applicatie in humanresourcemanagement. De ene partij zou de architectuur en de ontwikkeling verzorgen. De andere partij zou de applicatie testen, verkopen en implementeren bij eindgebruikers. Heeft de partij die de ontwikkeling van de applicatie zou doen, zich voldoende ingespannen? Er kan niet worden gesteld dat die partij zijn inspanningsverplichting, informatie- of waarschuwingsplicht heeft geschonden. Het vonnis wordt bekrachtigd.
|
|
|
IT 3212: INTERPOL-rapport: meer cyberaanvallen door coronacrisis
Een rapport van INTERPOL laat de invloed van COVID-19 op het aantal cyberaanvallen zien. En waar eerst meestal individuen en kleine bedrijven doelwit waren, zijn dat nu vaker grotere bedrijven. Thuiswerken geeft cybercriminelen meer mogelijkheden om in systemen in te breken. INTERPOL benadrukt dat deze toename zich waarschijnlijk verder zal ontwikkelen. De criminelen maken misbruik van de publieke onrust die COVID-19 met zich meebrengt door online zwendel- en phishing-campagnes te verspreiden. Lees hier het hele rapport.
|
|
|
IT 3209: The Privacy Collective daagt tech-reuzen voor de rechter
The Privacy Collective dient een massaclaim in tegen Oracle en Salesforce wegens privacyschending. De bedrijven zouden illegaal handelen in digitale persoonsgegevens van miljoenen Nederlanders. Met die data worden van individuele internetgebruikers profielen opgesteld die worden verkocht aan commerciële partijen. Gebruikers hebben hier vaak geen rechtmatige toestemming voor gegeven. The Privacy Collective, een stichting, wordt bijgestaan door Bureau Brandeis. Het is bijzonder dat de tech-reuzen voor de rechter worden gedaagd, omdat privacyschendingen over het algemeen worden aangepakt door Europese toezichthouders. Nieuwe Nederlandse wetgeving heeft het mogelijk gemaakt om dergelijke class actions in te stellen. Lees hier de dagvaarding.
|
|
|
OVERIGE JURISPRUDENTIE
|
|
|
IT 3207: Banken verplicht tot verwerken persoonsgegevens in kader van kredietregistratie
Hof ’s-Hertogenbosch 6 augustus 2020, IT 3207; ECLI:NL:GHSHE:2020:2536 (Appellant tegen Achmea en ABN AMRO)
Appellant tegen Achmea en ABN AMRO. Registratie persoonsgegevens in het kader van kredietregistratie. Het hof Den Bosch bekrachtigt de beschikking van de rechtbank (IT 2943). Ook het hof komt tot de conclusie dat de banken voor de uitvoering van hun wettelijke plicht tot deelname aan een kredietregistratiesysteem - en alles wat daar noodzakelijk bij hoort - persoonsgegevens mogen laten verwerken door of registreren bij het BKR op grond van artikel 6 lid 1 sub c AVG (wettelijke verplichting). Daarom komt het hof niet toe aan een bespreking van de stellingen van appellant, gebaseerd op de artikelen 6 lid 1 sub f (gerechtvaardigd belang), 17 lid 1 (het recht op vergetelheid) en 21 lid 1 (het recht op bezwaar) van de AVG. Noemenswaardig is dat het hof ingaat op het advies van de Autoriteit Persoonsgegevens d.d. 14 november 2019, waarin de positie van het BKR aan de orde komt in combinatie met de grondslagen van de AVG. Het hof deelt niet de klaarblijkelijke visie van de Autoriteit Persoonsgegevens dat nu bepaalde aspecten niet expliciet bij wet geregeld zijn, daarbij uitsluitend de zogenaamde f-grond als verwerkingsgrond aan de orde is.
|
|
|
IT 3200: Vanaf 1 juli wel elektronische inzage in patiëntendossier
Op 1 juli 2020 traden de door minister Schippers uitgestelde regels uit de Wet cliëntenrechten bij elektronische verwerking van gegevens gedeeltelijk in werking. Deze wet is onderdeel van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz). De Wabvpz regelt onder meer de randvoorwaarden voor elektronische gegevensuitwisseling in de zorg. Vanaf 1 juli 2020 gelden er nieuwe rechten en verplichtingen voor het elektronisch patiëntendossier. Vanaf 1 juli moeten zorgaanbieders op aanvraag aan cliënten elektronische inzage geven.
|
|
|
IT 3191: HvJ EU heeft geoordeeld in Schrems tegen Facebook
HvJ EU 16 juli 2020, IT 3191, IEF 19327, IEFbe 3106; C-311/18 (Schrems tegen Facebook) Privacyrecht.
Facebookgebruiker Schrems heeft Ierland aangesproken op het doorgeven van persoonsgegevens aan Facebook Verenigde Staten. En de Ierse toezichthouder gevraagd deze doorgifte te verbieden. Schrems voerde aan dat het recht van de Verenigde Staten en de gangbare praktijk geen waarborgen bieden voor bescherming tegen toegang door de overheid tot de doorgestuurde gegevens. Deze klacht werd afgewezen: de Commissie had in een beschikking vastgesteld dat de Verenigde Staten wel een passend beschermingsniveau waarborgden. Maar in 2015 heeft het Europees Hof van Justitie deze beschikking ongeldig verklaard en daardoor verklaarde de Ierse rechter de afwijzing van Schrems’ klacht nietig. De Ierse toezichthouder vroeg Schrems zijn klacht te opnieuw te formuleren. In de nieuwe klacht verzoekt Schrems de doorgifte van zijn persoonsgegevens vanuit de Unie naar de Verenigde Staten - die Facebook uitvoert op grond van bepalingen uit de bijlage bij besluit 2020/87 - op te schorten of voor de toekomst te verbieden. De Ierse rechter vraagt aan het Europees Hof van Justitie of besluit 2010/87 en 2016/1250 geldig zijn. Het Hof van Justitie stelt dat bij de toetsing van besluit 2010/87 aan het Handvest van de grondrechten van de Europese Unie niet is gebleken dat er feiten of omstandigheden zijn die de geldigheid van dat besluit kunnen aantasten. Maar besluit 2016/1250 wordt ongeldig verklaard. Daarnaast wijst het Hof erop dat doorgifte van persoonsgegevens voor commerciële doeleinden door een onderneming in een lidstaat naar een andere onderneming in een derde land, bij de werkingssfeer van de verordening hoort. Bij zo’n doorgifte moet een beschermingsniveau worden geboden dat in grote lijnen overeenkomt met het beschermingsniveau dat binnen de Unie wordt gewaarborgd. Toezichthoudende autoriteiten moeten, tenzij de Commissie op geldige wijze een adequaatheidsbesluit heeft vastgesteld, een doorgifte naar een derde land opschorten of verbieden als zij van oordeel zijn dat de standaardbepalingen voor gegevensbescherming in dat derde land niet (kunnen) worden nageleefd en dat de door het Unierecht vereiste bescherming van de doorgegeven gegevens niet kan worden gewaarborgd met andere middelen.
|
|
|
IT 3187: HvJ EU: Constantin Film Verleih mag alleen postadres opvragen van illegale gebruikers
HvJ EU 9 juli 2020, IEF 19318, IEFbe 3102, IT 3187; ECLI:EU:C:2020:542 (Constantin Film Verleih)
Geding tussen aan de ene kant Constantin Film Verleih GmbH, een filmdistributeur in Duitsland, en YouTube LLC en Google Inc. in de Verenigde Staten aan de andere kant, over de gegevens die Constantin Film Verleih eist van gebruikers die inbreuk hebben gemaakt op intellectuele-eigendomsrechten. Het verzoek om een prejudiciële beslissing gaat over de uitleg van artikel 8, lid 2, onder a), van richtlijn 2004/48/EG van het Europees Parlement en de Raad van 29 april 2004 over de handhaving van intellectuele-eigendomsrechten (PB 2004, L 157, blz. 45, met rectificatie in PB 2004, L 195, blz. 16), zie ook [IEF 18550] en [IEF 19173]. Het oordeel is dat als een film illegaal is geüpload op een onlineplatform als YouTube, de rechthebbende alleen het postadres van de betrokken gebruiker kan opvragen, en niet zijn e-mailadres, IP-adres of telefoonnummer. Zie ook het perscommuniqué van het HvJ EU.
|
|
|
IT 3182: Recht op privacy wijkt voor recht op informatievrijheid
Hof Amsterdam 23 juni 2020 IT 3182; ECLI:NL:GHAMS:2020:1802 (Google tegen Geïntimeerde)
(Privacyrecht) Bij het googelen van de naam van geïntimeerde (plastisch chirurg), verschenen tussen de zoekresultaten ook koppelingen naar onder meer www.zwartelijstartsen.nl en www.drimble.nl met vermelding van haar naam, haar BIG-nummer, haar specialisme en de uitspraak van het Tuchtcollege. Geïntimeerde vroeg Google de koppelingen te verwijderen. Google wees dit verzoek af en stelde dat de URL’s in de zoekresultaten gerechtvaardigd worden door het wezenlijk belang van het grote publiek. Het Hof oordeelt - in tegenstelling tot de rechtbank - dat het recht op informatievrijheid van Google en derden hier zwaarder weegt dan het recht op privacy en bescherming van persoonsgegevens van geïntimeerde. Hoewel uit vaste rechtspraak (HR X/Google en HvJEU Costeja) volgt dat in beginsel het recht op informatievrijheid van het publiek moet wijken voor het recht op privacy en bescherming van persoonsgegevens, zijn er volgens het Hof in deze zaak bijzondere omstandigheden die ervoor zorgen dat het recht op informatievoorziening in dit geval wint. Allereerst omdat de arts een kwetsbare groep patiënten behandelt met weinig behandelopties, die eenvoudig en online toegang moeten hebben tot informatie over de voor- en nadelen van hun arts. Ten tweede wordt het BIG-register in de praktijk nauwelijks door patiënten geraadpleegd. Bovendien behelst de Wet BIG geen regels over wat derden mogen publiceren of vindbaar maken over tuchtrechtelijke maatregelen. Tot slot is de vermelding van de arts op de ‘zwarte lijst’ van SIN-NL volgens het Hof recent, relevant, feitelijk, niet onnodig grievend en actueel. Google hoeft de zoekresultaten dan ook niet te verwijderen.
|
|
|
IT 3178: Advertentie via Google AdWords niet misleidend
Vzr. Rechtbank Limburg 10 juni 2020, IEF 19305, IT 3178; ECLI:NL:RBLIM:2020:4150 (Eiser tegen Hesi)
Kort geding. Eiser heeft een eenmanszaak in technische installaties, waaronder luchtbehandelingsapparatuur. Hesi heeft een installatiebedrijf op het gebied van verwarming en luchtbehandeling. Hesi voert de handelsnamen Hesi B.V. en Hesi Verhuur Limburg. Eiser stelt dat Hesi via Google AdWords adverteert op internet en daarbij gebruik maakt van de naam en vestigingsplaats van de onderneming van eiser. Wie in Google deze zoektermen intypt, ziet volgens eiser bovenaan de pagina de advertentie van Hesi. Volgens eiser klikken klanten door de misleidende advertentie van Hesi onbewust op deze advertentie.
|
|
|
IT 3177: Wetsvoorstel: consumenten moeten recht krijgen op software- en beveiligingsupdates
In het wetsvoorstel van minister Dekker en staatssecretaris Keijzer staat dat consumenten bij de aankoop van slimme apparaten zoals smart tv’s, printers, camera’s, babyfoons en digitale horloges recht moeten krijgen op software- en beveiligingsupdates. Dit geldt ook voor games, applicaties en streamingsdiensten. De ministerraad heeft ermee ingestemd het wetsvoorstel voor advies naar de Raad van State te sturen. Met de verplichting voor verkopers om deze updates te leveren, moet worden voorkomen dat apparaten of diensten na verloop van tijd minder goed werken, omdat er dan geen nieuwe updates meer komen. Zo blijft de consument langer verzekerd van de juiste ondersteuning. Het wetsvoorstel is een implementatie van de Europese richtlijnen over de verkoop van goederen en levering van digitale inhoud en diensten.
|
|
|
IT 3165: Internet Archive aangeklaagd wegens piraterij
Internet Archive is een non-profitorganisatie die online e-boeken, films en muziek uitleent. Door de coronacrisis versoepelde de organisatie de beperkingen op gescande boeken. Waar normaal gesproken slechts één lezer tegelijk het e-boek kon bekijken, kon dat na de versoepeling door een oneindig aantal personen tegelijk. Internet Archive verwijderde de wachtlijsten en creëerde de National Emergency Library, met het doel om studenten en leerlingen in quarantaine te laten leren. De Amerikaanse uitgevers Hachette, HarperCollins, John Wiley & Sons en Penguin Random House stelden daarom een gezamenlijke klacht in waarin zij Internet Archive beschuldigen van piraterij. Het beschikbaar stellen van 1,3 miljoen boeken is een opzettelijke auteursrechtinbreuk.
|
|
|
IT 3160: Geen verbod op elektronische verkiezing 50PLUS
Vzr. Rechtbank Den Haag 6 mei 2020, IT 3160, ECLI:NL:RBDHA:2020:4043 (Eiser tegen 50PLUS)
Eiser is lid van 50PLUS en wil zich kandidaat stellen voor de functie van voorzitter van de selectiecommissie kandidatenlijst voor de Tweede Kamerverkiezingen 2021. In verband met landelijke coronamaatregelen wil 50PLUS die verkiezing elektronisch laten plaatsvinden. Eiser wil een verbod op zo’n elektronische stemming. De vordering wordt afgewezen omdat inmiddels een tijdelijke (nood)wet van kracht is die elektronische verkiezingen mogelijk maakt: ook als de statuten van een vereniging een elektronische stemming dat niet doen. 50PLUS heeft overtuigend gemotiveerd dat de verkiezing van de commissievoorzitter niet mag worden uitgesteld en mag dus gebruik maken van de noodwet. 50PLUS heeft toegezegd zich te houden aan de eisen die de noodwet stelt aan besluitvormingsprocedures. Omdat 50PLUS eerder een besluitvormingsprocedure gecommuniceerd had die niet voldeed aan de noodwet en ook niet aan de wet- en regelgeving die al gold voordat de noodwet van kracht was, wordt beslist dat 50PLUS de eigen proceskosten betaalt.
|
|
|
IT 3159: Bevel tot blokkeren van websites The Pirate Bay
Hof Amsterdam 2 juni 2020, IEF 19248, IT 3159; ECLI:NL:GHAMS:2020:1421 (Ziggo en XS4all tegen Brein)
Auteursrecht. Vervolg op HR 29 juni 2018 [IT 2592]. Bevel tegen internetproviders tot blokkering van IP-adressen en domeinnamen die toegang bieden tot websites van The Pirate Bay en zo inbreuk maken op auteursrecht (art. 26d Aw en art. 15e Wnr). De regels uit HvJ EU UPC/Telekabel Wien [IT 1470] worden toegepast. Zijn de bevelen die Brein vordert te verenigen met het rechtvaardige evenwicht tussen de drie grondrechten: de (intellectuele) eigendom, de informatievrijheid en de vrijheid van ondernemerschap? Ja, is het oordeel. Aan de dubbele voorwaarde wordt voldaan. Het gaat om noodzakelijk ontzeggen van toegang tot rechtmatige informatie, en van verhinderen of serieus ontmoedigen van toegang tot beschermde werken.
|
|
|
IT 3140: Is een digitale opslagruimte een gegevensdrager?
HR 12 mei 2020, IT 3140; ECLI:NL:HR:2020:799 (Digitale opslagruimte)
Het cassatiemiddel klaagt onder meer dat de bewezenverklaring dat de verdachte “een gegevensdrager, te weten een digitale opslagruimte (Skydrive)” in zijn bezit had, getuigt van een onjuiste rechtsopvatting, en onbegrijpelijk is gemotiveerd. De vraag die aan de Hoge Raad wordt gesteld is: is een digitale opslagruimte een gegevensdrager a.b.i. art. 240b Sr? Bij digitale opslag door gebruik van een clouddienst moet onderscheid worden gemaakt tussen de digitale opslagruimte voor de gebruiker en de gegevensdrager waarop die opslagruimte zich bevindt. Volgens de wetsgeschiedenis heeft de term bezit a.b.i. art. 240b SR een fysieke connotatie. Het Hof heeft door bewezen te verklaren dat verdachte “een gegevensdrager, (...) te weten een digitale opslagruimte (Skydrive)” in zijn bezit heeft gehad, verkeerd geoordeeld. Dat verdachte een laptop had, leidt niet tot cassatie. Ook als het gewraakte onderdeel uit de bewezenverklaring vervalt, wordt de aard en de ernst van wat is bewezenverklaard niet aangetast, en ook de kwalificatie van het bewezenverklaarde blijft ongewijzigd. Het beroep wordt verworpen.
|
|
|
IT 3139: Facebook doet genoeg tegen nep-bitcoin-advertenties
Vzr. Rechtbank Amsterdam 15 mei 2020, IEF 19208, IT 3139, RB 3414; ECLI:NL:RBAMS:2020:2602 (Presentator en AVROTROS tegen Facebook)
Kort geding. Presentator en AVROTROS vorderen dat Facebook: 1. het onrechtmatig toestaan van advertenties op Facebook en Instagram waar naam en portret van de presentator in verband worden gebracht met (investeringen in) bitcoin of andere cryptovaluta - staakt en gestaakt houdt. En 2. de identificerende gegevens geeft van de partij(en) die verantwoordelijk zijn voor de advertenties. Facebook voert onder meer aan al alles te doen om deze advertenties tegen te gaan. Maar het is ondoenlijk en technisch onmogelijk om te garanderen dat zulke advertenties niet meer verschijnen. Geoordeeld wordt dat Facebook voor nu voldoende maatregelen treft om nep-bitcoin-advertenties met bekende Nederlanders te weren. Facebook handelt niet onrechtmatig, omdat onvoldoende is geconcretiseerd welke extra maatregelen Facebook op dit moment zou kunnen en moeten treffen. De vordering tot het verstrekken van identificerende gegevens van adverteerders wordt toegewezen.
|
|
|
IT 3138: Overeenkomst software-pilot correct nagekomen
Hof Arnhem-Leeuwarden 7 april 2020, IT 3138 (Otys tegen Ordina)
De zaak gaat over een geschil over de uitvoering van een pilot door Otys, een bedrijf dat recruitment-software levert voor Ordina, een ICT-dienstverlener. Otys vordert betaling van de facturen, maar Ordina is van mening dat de opgeleverde software zo slecht is dat Ordina de overeenkomst zonder ingebrekestelling mag ontbinden. Volgens Otys is de overeenkomst niet rechtsgeldig ontbonden. En Otys krijgt gelijk. Dat de software van zodanige kwaliteit was dat deze ook na aanpassing niet aan de overeengekomen garanties kon voldoen en Ordina daarom redelijkerwijs kon voorzien dat niet kon worden nagekomen, is onvoldoende onderbouwd. Ordina wordt veroordeeld tot betaling.
|
|
|
IT 3123: Boete voor registreren van vingerafdrukken
Autoriteit Persoonsgevens 4 december 2019, IT 3123; Boetebesluit vingerafdrukken personeel (Vingerafdrukken werknemers)
De Autoriteit Persoonsgegevens (AP) heeft een boete van € 725.000 opgelegd aan een bedrijf dat vingerafdrukken van werknemers verzamelde voor aanwezigheids- en tijdsregistratie. De gegevens werden bij uitdiensttreding niet verwijderd. In de arbeidsovereenkomst stond geen informatie over het gebruik van vingerafdrukken. Het bedrijf kon ook niet aantonen dat het uitdrukkelijke toestemming vroeg voor het afnemen van vingerafdrukken en het gebruik van de vingerscans. De AP vond ook geen bewijs dat medewerkers voor het afnemen of gebruik van de vingerafdrukken toestemming hadden gegeven of dit hadden geweigerd. Medewerkers hadden geen vrije keuze: als een vingerafdruk werd geweigerd volgde een gesprek met de directeur of het bestuur. Volgens de Autoriteit Persoonsgegevens zijn biometrische gegevens (zoals een vingerafdruk) bijzondere persoonsgegevens. Organisaties mogen bijzondere persoonsgegevens niet gebruiken, behalve als daarvoor in de wet een uitzondering is. In dit geval zouden er twee uitzonderingen op het verbod kunnen zijn. Namelijk als het bedrijf medewerkers om toestemming had gevraagd, of als het gebruik van biometrische gegevens noodzakelijk was voor authenticatie- of beveiligingsdoeleinden. Het bedrijf kan zich niet beroepen op een uitzonderingsgrond. De AP heeft dan ook geconcludeerd dat het bedrijf geen vingerafdrukken van medewerkers had mogen verwerken.
|
|
|
IT 3106: SGOA: inloggegevens niet afgeven is onrechtmatig
SGOA december 2019, IT&R 3106 (Afnemer tegen leverancier)
Afnemer houdt zich bezig met de handel in onroerend goed. Leverancier houdt zich onder meer bezig met advisering en ondersteuning op het gebied van informatietechnologie. Bij afnemer wordt in het ICT-systeem ingebroken. Afnemer stelt leverancier in gebreke omdat leverancier het ICT-systeem niet adequaat zou hebben beveiligd en er niet voor heeft gezorgd dat de gegevens van afnemer steeds beschikbaar waren. Afnemer ontbindt de overeenkomst, stelt leverancier aansprakelijk voor de schade en schort de betalingsverplichtingen op. Ook krijgt de leverancier het verzoek de inloggegevens van het ICT-systeem aan afnemer te overhandigen en mee te werken aan de transitie naar een andere leverancier. Leverancier weigert mee te werken en geeft de inloggegevens niet af totdat afnemer alle openstaande facturen heeft betaald. Afnemer stelt daarom dat leverancier onrechtmatig handelt door aan de ene kant te berusten in de gevolgen van de ontbinding en aan de andere kant te weigeren alle inloggegevens aan afnemer te verschaffen. Het achterhouden van de ontbrekende inloggegevens is volgens afnemer onrechtmatig omdat de gegevens van groot belang zijn voor de bedrijfsvoering van de afnemer, terwijl de leverancier geen nadeel lijdt door die gegevens te verstrekken. Tot slot handelt leverancier ook onrechtmatig door de aanvullende voorwaarde dat afnemer de Vrijwaringsovereenkomst ondertekent voordat de leverancier tot afgifte van de inloggegevens overgaat.
|
|
|
Colofon
Hoofdredactie: Polo van der Putt, Vondst Advocaten
Eindredactie: de nieuwsbrief wordt samengesteld door SGOA in samenwerking met deLex.
|
|
|
