Geachte lezer,
In deze editie van onze nieuwsbrief onder meer aandacht voor het volgende:
|
Het is al jaren de milion dollar question bij de SGOA: wat bepaalt het aantal en het type arbitrage- en mediationzaken dat binnenkomt? En de conclusie is eigenlijk elk jaar hetzelfde: er is geen peil op te trekken. Er is geen patroon. Geen duidelijk verband met hoogconjunctuur of crisis. Het ene jaar overwegend arbitrages en het andere jaar vooral mediations. Soms een piek in het tweede halfjaar, dan weer in het eerste halfjaar en altijd een grote variatie in het belang van de zaken. |
 |
De vraag is dan ook of deze patronen, of eigenlijk het gebrek daaraan, zijn te besturen of op zijn minst zijn te beïnvloeden. Daar is al veel over gezegd en geschreven: we hebben geconcludeerd dat we er in ieder geval voor moeten zorgen dat we onze eigen zaakjes op orde hebben om onze goede reputatie te behouden en verder te vergroten.
Alles begint met een sterke community van arbiters, mediators en deskundigen. Sinds partijen zelf kunnen kiezen wie ze willen inschakelen voor de behandeling van hun geschil, is dat nog belangrijker en nog zichtbaarder geworden. Wat dat betreft zijn we in 2021 voortvarend bezig. We zijn gestart met intervisie-sessies voor de mediators, de virtuele nieuwjaarsborrel is druk bezocht en het bestuur spreekt structureel met associates om een beter beeld te krijgen van wat er leeft. We hebben het over de mogelijkheden om gezamenlijk als stichting meer impact te maken en hoe we ervoor kunnen zorgen dat partijen voor een specifieke mediator en arbiter kiezen. Een aantal associates heeft na die gesprekken aangegeven van de lijst te willen worden gehaald. Bijvoorbeeld omdat ze in hun carrière een andere kant op zijn gegaan of omdat ze het rustiger aan willen doen.
Wat ook op orde moet zijn, is de kwaliteitsborging van de dienstverlening. Wat maakt een mediation of arbitrage nu tot een SGOA-mediation of -arbitrage? Hoe zorgen we ervoor dat elke associate de SGOA-dienstverlening uitvoert volgens de hoge normen die we hebben gesteld? Elke partij moet erop kunnen vertrouwen dat het complete proces van eerste aanmelding tot en met de vaststellingsovereenkomst of het vonnis soepel verloopt. Dat er altijd wordt voldaan aan de kwaliteitseisen, wie de mediator of arbiter ook is. Hiermee gaan we in 2021 verder. We bouwen voort op het SGOA mediation-handboek en het sterk aangepaste arbitragereglement. Met voortzetting van intervisie-bijeenkomsten en het uitdragen van de kwaliteitsstandaarden door het SGOA-bureau blijven we dit continu verbeteren.
En dan terug naar het begin van dit voorwoord: sorteert dit nu eigenlijk allemaal het gewenste effect? Zoals gezegd, niemand die het weet, want er is geen patroon. Maar als we naar de eerste maanden van het jaar kijken, zijn er meer zaken met een groter gemiddeld belang dan in de afgelopen jaren. Wat dat betreft ziet 2021 er veelbelovend uit. Hopelijk geldt dat dit jaar ook op andere gebieden die u en ons bezighouden. Wij gaan ervan uit dat zoveel mogelijk partijen elkaar dit jaar ‘live’ de hand kunnen schudden als een ICT-geschil naar tevredenheid is opgelost.
Chris Barbiers, voorzitter SGOA
Op 3 juni is er weer een SGOA Academy: IT-actualiteiten. Astrid Sixma van Kennedy Van der Laan, brengt u op de hoogte van actuele ontwikkelingen op het gebied van IT en tech en bespreekt de toenemende invloed van techreuzen en algoritmes. Waar moeten IT-leveranciers nu alert op zijn. U hoort het tijdens een online seminar van 16.00 -17.00 uur. Zet u de datum alvast in uw agenda?
Noteert u dan ook alvast 4 november. Want dan organiseren we, ook weer in samenwerking met deLex de jaarlijkse SGOA Academy over IT-jurisprudentie en privacy-actualiteiten. Afhankelijk van de maatregelen op dat moment wordt een online of een fysieke bijeenkomst. Van 15.30 – 17.30 uur praten Polo van der Putt van Vondst advocaten en Gerrit-Jan Zwenne van Pels Rijcken en Universiteit Leiden u bij.
Bob Cordemeyer, advocaat bij Cordemeyer & Slager Advocaten en associate bij de SGOA
|
Advocaat Max Schrems haalde eerst Safe Harbor in de Verenigde Staten onderuit en nu ook het Privacy Shield systeem. Op 16 juli 2020 zette het Hof van Justitie van de Europese Unie in de Schrems II zaak, waarin Schrems opnieuw klaagde over de onveiligheid van doorgifte van zijn persoonlijke gegevens door Facebook, een streep door Privacy Shield. Omdat er kort gezegd in de Verenigde Staten te weinig bescherming is tegen de surveillance van de Amerikaanse overheid. |
 |
Even dachten we nog dat we dat konden opvangen met de bepalingen in de vernieuwde modelcontracten van de Europese commissie die contractueel de gewenste bescherming van persoonsgegevens afdwingen, maar het Hof heeft ook die weg afgesneden. Want je moet dan eerst beoordelen of het land waar de gegevens naartoe gaan een adequaat beschermingsniveau in acht neemt. Is dat niveau er niet, dan is de consequentie heel simpel: onmiddellijk stoppen met de doorgifte van persoonsgegevens. Het grootste probleem is steeds dat de toezichthoudende overheden en inlichtingendiensten de bescherming van persoonsgegevens in gevaar brengen, waartoe ze, gezien de lokale wetgeving, al of niet bevoegd zijn.
In de praktijk is dit de grote hobbel. En niet alleen voor export van persoonsgegevens naar de Verenigde Staten. Doordat modelcontracten of binding corporate rules niet zomaar meer gebruikt kunnen worden zonder nadere assessments van het lokale beschermingsniveau van het land waar de gegevens heen gaan, maakt de uitspraak dat veel bedrijven niet meer compliant kunnen exporteren en daar eigenlijk meteen mee moeten stoppen. Met alle gevolgen van dien. Voor importerende landen als China en India geldt dat ze niet gedekt worden door een zogenaamd adequaatheidsbesluit van de Europese Commissie, anders dan bijvoorbeeld Israël en Japan. De European Data Protection Board (EDPB) heeft, geïnspireerd door een Duitse federale gegevensbeschermingsautoriteit,een 6-stappenplan ontworpen om assessments voor bedrijven te vergemakkelijken.
In de praktijk is Schrems II ook een groot probleem voor bedrijven in bijvoorbeeld China, India en vele andere landen die op grote schaal technische producten leveren aan landen binnen de EU. Denk bijvoorbeeld aan smartphones die vanuit zo’n land veelvuldig van updates moet worden voorzien. Daarbij worden persoonsgegevens verwerkt buiten de EU. Het gaat om heel veel productcategorieën: filmcamera’s, speelgoed, computers, auto’s en ga zo maar door. De AVG is dan een groot obstakel: de landen kunnen niet voldoen aan de AVG-eisen omdat het overheidstoezicht in die landen eigenlijk onbeperkt is. Zoals de VS alles tapt wat uit Europa komt, gebeurt dat in de Aziatische wereld natuurlijk ook. China, dat met look-a-like AVG-wetgeving komt met een beschermingsniveau als dat van de AVG, en met veiligheidswetgeving waarin tappen met toestemming wordt geregeld, heeft feitelijk een scherp overheidstoezicht. Daardoor zijn persoonsgegevens die vanuit Europa worden geïmporteerd niet beschermd tegen deze overheid.
De adviezen die het betrokken bedrijfsleven krijgt, verschillen nogal. Voorzichtig doorgaan en nieuwe wetgeving afwachten en in ieder geval niet de business stopzetten, hoor je bij de grote advocatenkantoren in de verschillende regio’s. Boetes maar laten komen. Veel bedrijven verhuizen hun servers met persoonsgegevens naar Europa, maar dat is, nog los van de kosten, niet altijd eenvoudig omdat de productontwikkeling niet in Europa zit. Soms blijkt het ook mogelijk de persoonsgegevens in dergelijke systemen te separeren en achter een encryptiemuur te houden en te behoeden voor ongewenste toegang. De Amazons en Microsofts werken met zeer goede encryptie en lijken daar mee weg te komen. Gelukkig maar, want je kunt dit soort bedrijven eigenlijk niet stilleggen.
In de Verenigde Staten wordt naar ik heb begrepen nu gewerkt aan een Privacy Shield versie 3. China hoopt compliant te worden met de Chinese AVG, die min of meer dezelfde bescherming geeft als de AVG. Met China en andere landen kun je ook tot een Privacy Shield-achtige oplossing komen, maar dat zal gezien de geopolitieke spanningen niet snel gebeuren.
Voorlopig moeten we de oplossingen zoeken in het separeren van persoonsgegevens, in encryptie, pseudonimiseren, anonimiseren, security-maatregelen en het verhuizen van servers naar Europa. Bedrijven zullen hoe dan ook serieuze maatregelen moeten treffen ter bescherming van persoonsgegevens. De toezichthouders blijven niet stil zitten, en als je niets doet, word je met hoge boetes geconfronteerd.
|
Door Ernst-Jan van de Pas, advocaat bij Dirkzwager legal & taks en associate bij de SGOA In deze opiniërende bijdrage pleit ik graag voor een andere benadering van Service Level Agreements, of kortweg SLA’s: met focus op continuïteit van dienstverlening in plaats van beschikbaarheid en andere reactieve servicelevels. |
 |
Het komt je misschien bekend voor. In veel SLA’s bij SaaS-diensten die ik onder ogen krijg, ligt de nadruk op reactieve servicelevels, zoals beschikbaarheid (99,9% per maand/jaar) en responstijden - in plaats van oplostijden - bij de melding van incidenten. Vaak gekoppeld aan een servicelevel dat erop neerkomt dat men zich inspant om 90% van de gemelde geprioriteerde incidenten binnen de responstijd op te lossen. Er worden formules gehanteerd voor de manier waarop we beschikbaarheid moeten meten en er zijn lange (vaak vage) lijsten met wat allemaal niet als niet-beschikbaarheid mag meetellen in de berekening van het beschikbaarheidspercentage.
Dit roept de vraag op waar een SLA eigenlijk toe dient. Een SLA wordt vaak gepresenteerd als een soort kwaliteitsgarantie: met de dienstverlening zit het allemaal wel goed. Maar in de praktijk is – zeker van uit het perspectief van de afnemer – een SLA een woud van ondoordringbare obstakels om een leverancier op de kwaliteit van zijn dienstverlening aan te spreken. Of juridisch: een samenstel van afspraken om de zorgplicht uit de inspanningsverbintenis van de opdrachtnemer in te perken. Is dit onredelijk? Nee, niet per se. Leveranciers hebben doorgaans ook maar beperkte of zelfs geen controle over de keten aan onderdelen die maken dat zijn dienst functioneert.
Maar in SLA’s schiet het inperken van de risico’s vaak door, met als gevolg dat de leverancier ook op de onderdelen waar hij wel controle over heeft niet kan worden aangesproken en dat is niet redelijk. Zeker in een wereld waarin we steeds afhankelijker worden van op afstand ter beschikking gestelde software voor onze dagelijkse werkzaamheden en er steeds meer nadruk komt te liggen op goed werkende IT-systemen. En hoe past dit in business continuity plans en informatiebeveiligingsbeleidsstukken van organisaties?
Wat mij opvalt, is dat SLA’s vaak om de essentie heen draaien. Als afnemer heb je toch geen behoefte aan het monitoren van beschikbaarheidspercentages en reactietijden? Een afnemer wil continuïteit van dienstverlening en zicht op de maatregelen die dat moeten borgen. En juist dat krijgt vrijwel geen aandacht. Het monitoren van beschikbaarheidspercentages is reactief handelen, terwijl in mijn ogen de focus moet liggen op het treffen van proactieve maatregelen om discontinuïteit te voorkomen. Daar moeten concrete afspraken over komen. Hoelang duurt het bijvoorbeeld om een uitwijkomgeving te upspinnen? Dat kost geld inderdaad. Maar als het om bedrijfskritische systemen gaat, zijn afnemers best bereid een faire prijs te betalen. Dus waarom gaat het gesprek daar dan niet over? Als ik dit aan de orde stel, word ik door leveranciers vaak met grote ogen aangekeken. Alsof ik de eerste ben die hier een vraag over stelt. Maar we hebben toch een SLA, is dan vaak het antwoord.
Ik pleit voor een hele andere benadering: waarom stellen we de continuïteit van de dienstverlening niet centraal, waarbij nadrukkelijk wordt benoemd wie waarvoor verantwoordelijk is?
1. Voer een risico-inventarisatie uit en breng de risico’s van (onder meer) discontinuïteit in kaart. Daaruit kunnen concrete, praktische tegenmaatregelen worden getroffen tegen de gesignaleerde risico’s. Die tegenmaatregelen moet je vervolgens in de SLA uitwerken.
2. Maak helder bij wie welke verantwoordelijkheid rust. Maak concreet waar de afnemer verantwoordelijk voor is (eigen netwerk, eigen internetverbinding e.d.), waar de leverancier verantwoordelijk voor is (zijn netwerkvoorzieningen, technische inrichting van de software, door hem ingeschakelde hosting partijen) en maak duidelijk waar geen van partijen invloed op heeft (daardoor worden bepaalde overmachtssituaties geobjectiveerd).
3. Houd brandoefeningen! Mooi, al die afspraken over het voorkomen van ellende, maar als het een keer misgaat, blijkt een switch van 35 euro opeens niet te doen wat hij moet doen. In de fysieke wereld is het heel normaal om af en toe een brandoefening te doen. Waarom dan niet ook voor onze digitale wereld? Zo komen onvoorzienbare kwetsbaarheden bloot te liggen en die kun je dan weer oplossen. Scherp de afspraken in de SLA daarop aan.
4. Overigens kunnen partijen dan nog steeds afspraken maken over bepaalde bandbreedtes van de kwaliteit van dienstverlening die achteraf gemonitord wordt. Dat kan nooit kwaad, zeker niet als je daarmee bepaalde trends bij gaat houden. Maar dan meer als een ondergrens voor evaluatiedoeleinden en eventuele verbetertrajecten.
Er valt nog veel meer te zeggen over het nut en de noodzaak van SLA’s, dat is voor een andere keer. Ik ben benieuwd naar jullie visie.
In de zaak HostSlim – Cogent oordeelde het Hof Arnhem Leeuwarden dat Cogent HostSlim niet had hoeven wijzen op de optie om een digitale wasstraat af te nemen. En ook niet verplicht was om HostSlim tegen ddos-aanvallen te beschermen. HostSlim is namelijk ook een ICT-bedrijf. En het Hof verwacht van een ICT-bedrijf meer dan gemiddelde kennis en kunde over bijvoorbeeld de bescherming tegen ddos-aanvallen. De rechtbank Den Haag oordeelt overigens dat een ddos-aanval cybercriminaliteit is die zonder meer gekwalificeerd kan worden als geweld in de zin van artikel 317 Sr.
Slovak Telekom (ST) biedt als gevestigde telecomexploitant in Slowakije met Deutsche Telekom AG (DT) als moedermaatschappij breedbanddiensten aan over zijn koper- en glasvezelnetten. De Slowaakse regelgevende instantie op het gebied van telecommunicatie wijst op 8 maart 2005, ST aan als de exploitant die over een aanmerkelijke macht beschikt op de wholesalemarkt voor ontbundelde toegang tot het aansluitnetwerk. De Europese Commissie meent dat ST deze machtspositie heeft misbruikt en heeft ST en DT daarom een geldboete opgelegd. Het Gerecht verklaart dit besluit gedeeltelijk nietig en stelt een nieuwe boete vast. Het Hof wijst nu de door ST en DT ingestelde hogere voorzieningen af en verduidelijkt de strekking van het arrest Bronner met betrekking tot de vraag in hoeverre een weigering om toegang te verlenen tot de infrastructuur van een onderneming met een machtspositie, misbruik oplevert in de zin van artikel 102 VWEU.
Appellante heeft voor haar onderneming een ICT-onderhoudscontract afgesloten met geïntimeerde. Als dit contract is beëindigd en appellante op het punt staat om een nieuw ICT-onderhoudscontract af te sluiten met een andere partij, wordt haar onderneming gehackt. Appellante leidt hierdoor schade, en die schade komt vooral doordat de geïntimeerde niet genoeg gezorgd heeft voor adequate back-ups. Geïntimeerde betoogt dat een groot deel van de schade juist aan appellante zelf moet worden toegerekend. Maar het Hof stelt geïntimeerde in het ongelijk: het Hof ziet wel degelijk een causaal verband tussen de tekortkoming en de geleden schade.
Top System, een ontwikkelaar van computerprogramma's, werkt al een paar jaren samen met de Belgische openbare instelling Selor. Zij hebben meerdere digitale toepassingen met elkaar ontwikkeld. Desondanks is er in 2009 tussen partijen een geschil ontstaan omdat Top System van mening was dat Selor - en daarmee ook de Belgische Staat - inbreuk had gemaakt op de exclusieve rechten die zij op een programma had, omdat Selor de software hiervan had gedecompileerd. Het Brusselse Hof van beroep heeft naar aanleiding van deze kwestie twee prejudiciële vragen gesteld aan het HvJ EU om meer duidelijkheid te krijgen over in hoeverre het decompileren van een computerprogramma is toegestaan onder Europees auteursrecht. A-G Szpunar formuleert als reactie op de vragen dat dit is toegestaan wanneer dat noodzakelijk is om fouten te verbeteren die de werking van het programma beïnvloeden.
Intrum stelt dat tussen Energiedirect en gedaagde een online overeenkomst is gesloten. Energiedirect heeft op grond van deze overeenkomst energie geleverd aan het adres van gedaagde. Gedaagde stelt daartegenover dat hij woonde in een bedrijfswoning op het desbetreffende adres en dat alle aansluitingen voor de energie zich in het bedrijfspand van een BV bevonden. Volgens hem is de energie aan deze BV geleverd en is daardoor niet hij, maar de BV contractspartij. De rechtbank wijst de vorderingen van Intrum af omdat deze niet genoeg is ingegaan op de verweren van gedaagde.
Lopende cassatieprocedure. Media Concept biedt, net als Digital Revolution, online inkt- en tonercartridges aan en maakt hiervoor reclame via Google Shopping. Daarbij adverteren ze met een lagere prijs dan te zien is op hun website. Digital Revolution meent dat er sprake is van misleiding, oneerlijke handelspraktijken en ongeoorloofde vergelijkende reclame. Maar Digital Revolution wordt door zowel de voorzieningenrechter als in hoger beroep niet in het gelijk gesteld. Procureur-generaal Wissink stelt in deze conclusie de beslissing van het Hof Arnhem-Leeuwarden in het gelijk en verzoekt de Hoge Raad tot verwerping van het cassatieberoep van Digital Revolution.
Beslissing op prejudiciële vragen. H.K. wordt in Estland vervolgd wegens diefstal, gebruik van de bankpas van een ander en geweldpleging tegen betrokkenen bij een gerechtelijke procedure. De Estse rechter heeft H.K. schuldig verklaard aan deze feiten op basis van informatie van een aanbieder van elektronische communicatiediensten. H.K. ging hiertegen in hoger beroep. Hierop besloot de hoogste Estse rechterlijke instantie een aantal prejudiciële vragen voor te leggen aan het HvJ EU over in hoeverre een nationale regeling, in het kader van strafrechtelijk onderzoek, aan een overheidsinstantie toegang mag verlenen tot elektronische-communicatiegegevens die een gedetailleerd beeld van een gebruiker kunnen scheppen. Het HvJ EU verklaart dat een dergelijke regeling niet is toegestaan als die niet is beperkt tot het bestrijden van zware criminaliteit of het voorkomen van ernstige bedreigingen van de openbare veiligheid. Daarnaast moet de toetsing van een rechtmatige toegang tot gegevens niet gedaan worden door het openbaar ministerie, maar door een meer onafhankelijke instantie.
blndr is een specialist in greenscreen fotomarketing. Aircommerce (AC) houdt zich bezig met het bedenken van reclamecampagnes en richt zich vooral op de luchtvaart. In 2017 heeft AC in opdracht van Schiphol een concept ontwikkeld. Het gaat, kort gezegd, om een interactieve photobooth in de vorm van een kubus. De installatie van de twee kubussen op Schiphol verliep niet probleemloos. Een derde kubus is gebruikt voor een presentatie op een beurs in Cannes. Over het af te sluiten contract hebben partijen vanaf medio 2017 overleg gevoerd. Het overleg over het contract en de uitvoering van het project vielen deels samen. Begin april 2018 kwam de samenwerking tot een einde. De vraag is of er tussen partijen een overeenkomst tot stand is gekomen en zo ja, of AC die overeenkomst rechtsgeldig heeft beëindigd. Geoordeeld wordt dat partijen aan de schriftelijkheidseis zijn voorbijgegaan door uitvoering te geven aan het project, waardoor een overeenkomst tot stand is gekomen. AC had daarom de overeenkomst niet eenzijdig mogen ontbinden zonder eerst blndr in gebreke te stellen.
Appellant heeft een eenmanszaak voor advisering op het gebied van informatietechnologie. Your Test Professionals (YTP) is een detacheringsbureau. Op 7 juli 2017 sluiten partijen een inkoopovereenkomst op basis waarvan appellant wordt gedetacheerd. Op 3 september 2017 stuurt appellant een bericht aan de teamleider dat zijn broer is overleden en daarom op 4 september niet aanwezig zal zijn. In een volgend bericht op 15 september deelt appellant mee dat hij vanaf die maandag weer beschikbaar is. Maar appellant hoort diezelfde dag dat hij is vervangen door een andere consultant. Appellant stelt zich op het standpunt dat daarmee YTP in strijd heeft gehandeld met de bepalingen van de inkoopovereenkomst, door niet de opzegtermijn van twee maanden in acht te nemen. YTP voert daartegen het verweer inhoudende dat de rechtbank ten onrechte de berichtgeving van 15 september kwalificeert als een opzegging, dat appellant geen recht had op doorbetaling van loon en dat de opzegtermijn geen twee maanden bedraagt. Geoordeeld wordt dat er sprake is van een voortijdige opzegging door YTP, waardoor de appellant recht heeft op een naar redelijkheid vast te stellen deel van het loon. Rekening houdend met de oorspronkelijke looptijd van de overeenkomst wordt de opzegtermijn op één maand gesteld. Het beroep van YTP op verrekening faalt, omdat appellant zelf niet de mogelijkheid kreeg om tot een oplossing te komen.
Kort geding. Food International, handelend als 123Bied, vordert in kort geding dat Marktplaats 123Bied weer als zakelijk adverteerder toelaat tot het platform. Marktplaats had 123Bied van het platform geweerd, nadat overtredingen van de Marktplaats-gebruiksvoorwaarden waren geconstateerd. 123Bied biedt een zogeheten online ‘centenveiling’ aan, waarbij consumenten credits kunnen kopen waarmee zij aan veilingen van consumentenproducten kunnen meedoen. De voorzieningenrechter wijst de door 123Bied gevraagde voorzieningen af. Het is volgens de voorzieningenrechter onwaarschijnlijk dat de bodemrechter zal oordelen dat Marktplaats de overeenkomst met 123Bied moet nakomen en de advertenties van 123Bied weer moet toelaten op het platform.
SGOA 2019 (Afnemer tegen BV) Afnemer heeft in oktober 2017 met leverancier een overeenkomst gesloten over de technische ontwikkeling van het platform 'Controlscreen'. In 2018, nadat het platform al beschikbaar was gesteld aan afnemer, zijn er problemen geconstateerd door afnemer bij Controlscreen. Afnemer stelt dat zij schade heeft geleden door deze problemen en dat leverancier hiervoor aansprakelijk is, wegens tekortkoming in de nakoming van hun overeenkomst. De arbiters van SGOA wijzen deze vordering van afnemer af omdat zij het niet bewezen achten dat leverancier tekort is geschoten in haar verplichtingen uit de overeenkomst. Deze oordelen namelijk dat de verplichtingen van leverancier niet goed begrepen zijn door afnemer.
Hoofdredactie: Polo van der Putt, Vondst Advocaten
Eindredactie: de nieuwsbrief wordt samengesteld door SGOA in samenwerking met deLex.