Internet  

Reactie op verzoek van het lid Gesthuizen over de hack bij KPN , Kamerstukken II, 2011-2012, 26 643, nr. 225.

(...) Stand van zaken relevante moties, toezeggingen en wetgevingstrajecten Middels de kamerbrede motie Hennis-Plasschaert heeft uw Kamer de regering verzocht over te gaan tot een wettelijke meldplicht, een zogenaamde 'security breach notification'. Op 23 december heb ik uw Kamer geïnformeerd dat uw Kamer vóór het zomerreces van 2012 nader zal worden geïnformeerd over de wijze waarop deze meldplicht zal worden ingericht.1

Het wetsvoorstel tot wijzinging van de Telecomwet dat thans ter behandeling voorligt in de Eerste Kamer voorziet in twee meldplichten voor aanbieders van openbare elektronische communicatienetwerken en diensten waarbij het gaat om enerzijds inbreuken die een nadelig effect hebben op de bescherming van persoonsgegevens en anderzijds om inbreuken op de veiligheid waardoor de continuïteit in belangrijke mate wordt verbroken.

Daarnaast wil ik u erop wijzen dat Staatssecretaris Teeven een wetsvoorstel in consultatie heeft gezonden waarin een meldplicht voor datalekken is neergelegd. Wanneer dat wetsvoorstel te zijner tijd wordt aangenomen, is voorzien in een aanzienlijke verscherping van de regelgeving.

Uiteraard zal het incident eveneens worden bezien in het licht van de uitvoering van de motie Gesthuizen waarin de regering wordt verzocht om een visie op de privacy, veiligheid en bescherming van burgers op internet. Deze visie zal in het voorjaar aan uw Kamer worden aangeboden.

Tot slot
KPN is een particulier bedrijf en is daarmee primair verantwoordelijk voor de beveiliging van haar systemen en de respons op dit incident. Tevens heeft KPN op basis van de Telecomwet een zorgplicht ten aanzien van haar klanten door passende technische en organisatorische maatregelen te treffen ten behoeve van de veiligheid en beveiliging van netwerken en diensten.

De toezichthouder Onafhankelijke Post- en Telecommunicatie Autoriteit (OPTA) heeft afgelopen zaterdag bekend gemaakt een onderzoek in te stellen of KPN op passende wijze invulling heeft gegeven aan deze zorgplicht.

De lopende onderzoeken van KPN en de OPTA zullen meer helderheid moeten verschaffen over wat precies is voorgevallen, het moment van melden van het incident, in hoeverre de aanpak juist geweest is en hoe in de toekomst deze situaties te voorkomen zijn, dan wel van een adequate response met bijbehorende communicatie voorzien kunnen worden.

Daarnaast wordt onder de verantwoordelijkheid van het OM in samenwerking met het High Tech Crime Unit van de Nationale Recherche momenteel een strafrechtelijk onderzoek uitgevoerd naar de digitale inbraak bij KPN.

Vzr. rechtbank Arnhem 15 februari 2012, LJN BV6124 (dwangsom bezoeken van de blog)

In deze zaak gaat het in de kern genomen om de vraag of eiser twee keer een dwangsom van € 500,00 heeft verbeurd omdat hij in strjid met de veroordelingen in het vonnis van 14 oktober 2011 [red. contactverbod] heeft gehandeld. Gedaagde stelt dat zij na betekening van het vonnis van 14 oktober 2011 een e-mailbericht van eiser heeft ontvangen en dat eiser haar blog heeft bezocht. Het ip-adres van de bezoeker van de blog komt overeen met het ip-adres van eiser. Gedaagde is van mening dat deze benaderingen door eiser vallen onder hetgeen in het vonnis van 14 oktober 2011 is bepaald en dat eiser derhalve tweemaal een dwangsom van € 500,00 heeft verbeurd.

De voorzieningenrechter ziet aanleiding om de executie van het vonnis van 14 oktober 2011 te schorsen voor zover de executie ziet op het innen van de twee dwangsommen op grond van het e-mailbericht d.d. 28 oktober 2011 om 11:26 uur en het bezoeken van de blog (zie exploit van opeising dwangsommen van 10 januari 2012). Er is geen grond aanwezig om de tenuitvoerlegging van het uitvoerbaar bij voorraad verklaard vonnis van 14 oktober 2011 te schorsen totdat in hoger beroep over het oorspronkelijke geschil tussen eiser en gedaagde is beslist

4.9.  Op een vraag va de voorzieningenrechter is ter mondelinge behandeling gebleken dat de voorzieningenrechter in het vonnis van 14 oktober 2011, behoudens de duur van het verbod, exact heeft toegewezen wat [gedaagde] in haar dagvaarding heeft gevorderd. In deze door de advocaat van [gedaagde] geformuleerde verbodsbepaling is niet expliciet opgenomen dat het [eiser] verboden is om [gedaagde] aan te spreken door middel van het versturen van een e-mailbericht. Nog daargelaten de vraag of [eiser] het e-mailbericht heeft verzonden, betekent dit dat het eventueel versturen van een e-mailbericht aan [gedaagde] geen overtreding van het vonnis van 14 oktober 2011 kan opleveren. Het standpunt van [gedaagde] dat het versturen van een e-mailbericht onder de strekking van de verbodsbepalingen in het dictum van het vonnis van 14 oktober 2011 dient te worden gebracht, acht de voorzieningenrechter, zonder nadere toelichting die ontbreekt, onvoldoende aannemelijk gemaakt.

- bezoeken blog -

4.10.  Ten tweede heeft [gedaagde] gesteld dat [eiser] na betekening van het vonnis de blog van [gedaagde] heeft bezocht en daarom een dwangsom van € 500,00 heeft verbeurd. Hierover wordt als volgt overwogen.

4.11.  In het dictum van het vonnis van 14 oktober 2011 is geen verbodsbepaling opgenomen dat [eiser] de blog van [gedaagde] niet meer mag bezoeken. Niet geoordeeld kan derhalve worden dat [eiser], in het geval hij de blog heeft bezocht, in strijd met het vonnis van 14 oktober 2011 heeft gehandeld en dus een dwangsom heeft verbeurd.

IusMentis (Overtreed je een contactverbod door iemands blog te lezen?)

Hof Arnhem 31 januari 2012, LJN BV3776 (Proximedia tegen Fietsen Favoriet v.o.f. c.s.)

Vergelijkbaar met IT 666: Colportagewet is niet van toepassing op kleine ondernemers. Oneigenlijke dwaling? Bewijsopdracht.

3.4 Ten aanzien van het beroep dat Fietsen Favoriet c.s. heeft gedaan op de reflexwerking van de Colportagewet overweegt het hof het volgende. Vast staat dat Fietsen Favoriet de overeenkomst heeft gesloten in het kader van haar bedrijf, omdat de door Proximedia aangeboden goederen en diensten in het kader van de bedrijfsvoering van Fietsen Favoriet worden gebruikt. Fietsen Favoriet kan dus niet worden gekwalificeerd als “particulier” als genoemd in artikel 1 lid 1, aanhef en onder d van de Colportagewet. Het hof ziet, anders dan de rechtbank, voorts geen ruimte om ter bescherming van kleine ondernemers dit begrip “particulier” zo ruim uit te leggen dat daaronder ook wordt begrepen een natuurlijke persoon die handelt in het kader van zijn beroep of bedrijf, of zelfs - zoals in de onderhavige zaak - een samenwerkingsverband tussen twee natuurlijke personen binnen een vennootschap onder firma. In de wetsgeschiedenis van de Colportagewet is voor een zo ruime uitleg geen steun te vinden. Zo wordt in de wetgeschiedenis vermeld dat overeenkomsten tussen ondernemers buiten de werkingssfeer van de regeling vallen (Advies van de SER, bijlage bij de MvT, nr. 4, onder V). Een amendement dat onder meer tot doel had om ook personen die niet als particulier optreden (meer in het bijzonder personen die een groep particulieren vertegenwoordigen) te beschermen tegen misbruiken bij colportage is verworpen (amendement Terlouw, nr. 12). Ook in andere, meer recente wetgeving wordt alleen bescherming toegekend aan de consument zijnde de “natuurlijke persoon, die niet handelt in de uitoefening van een beroep of bedrijf”. Dat geldt onder meer voor de regeling van de consumentenkoop in artikel 7:5 e.v. van het Burgerlijk Wetboek (hierna: BW), de bescherming van de wederpartij van de gebruiker van algemene voorwaarden bij de in de artikelen 6:236 en 6:237 BW als onredelijk bezwarend aangemerkte bedingen en de regeling van de particuliere borgtocht in artikel 7:857 BW. Voor de regeling van de onredelijk bezwarende bedingen geldt dat de artikelen 6:236 en 6:237 BW via de open norm van artikel 6:233 onder a BW enige invloed kunnen uitoefenen bij de toetsing van een beding in algemene voorwaarden bij een niet-consument (de zogenoemde ‘reflexwerking’), met name in het geval de wederpartij een met een consument vergelijkbare positie inneemt. Een dergelijke, samenhangende bepaling met een open norm waarop ‘reflexwerking’ bij de Colportagewet gebaseerd zou kunnen worden, is er echter niet. Fietsen Favoriet c.s. heeft dat ook niet aangevoerd. Daaruit volgt dat de grieven van Proximedia slagen.

Met dank aan Jan-Jaap Oerlemans, promovendus Universiteit Leiden en juridisch adviseur Fox-IT.

Tot en met 29 februari 2012 wordt een wijzigingswet van de Wet bescherming persoonsgegevens (Wbp) ter consultatie gegeven. In het concept van de wijzigingswet wordt onder andere ingegaan op de algemene meldplicht datalekken. Tegelijkertijd bestaan er nog een aantal sectorspecifieke meldplichten. In dit bericht wil ik overzicht geven van de meldplichten die al bestaan en nog in de maak zijn.

Meldplicht datalekken I
Bij de Eerste Kamer ligt nu een voorstel voor een meldplicht datalekken voor aanbieders van openbare elektronische communicatiediensten (denk aan telefoniebedrijven en internet service providers) dat betrekking heeft tot beveiligingsincidenten die nadelige gevolgen hebben voor de privacy van de betrokkenen. De meldplicht wordt geïmplementeerd naar aanleiding van Europese richtlijnen die wij inmiddels al in onze nationale wetgeving geïmplementeerd hadden moeten hebben.

Betrokkenen hoeven niet geïnformeerd te worden wanneer naar het oordeel van het College (hier nog de OPTA) gepaste technische maatregelen zijn genomen, waardoor geen toegang kan worden verschaft tot de persoonsgegevens. De OPTA moet dus wel in kennis worden gesteld, maar de melding aan de betrokkenen kan eventueel achterwege blijven. De OPTA heeft hierbij het laatste woord.

Daarnaast komt er een meldplicht voor ‘veiligheidsinbreuken en het verlies van integriteit in het geval deze een belangrijk effect hebben gehad op de continuïteit van het netwerk of de daarover geleverde diensten’. Die melding moet (hoogstwaarschijnlijk?) worden gedaan aan het Agentschap Telecom. Een meldpunt zou ervoor moeten zorgen dat geen overlap of onduidelijkheid optreed bij welke instantie nu een melding moet worden gedaan als het incident zowel gevolgen heeft voor zowel de bescherming van persoonsgegevens als de integriteit van het netwerk. Zie over deze meldplicht dit verhelderende artikel in het tijdschrift Computerrecht van Frederik Borgesius (UvA).

Meldplicht datalekken II
Het kabinet wil de voorgestelde meldplicht uit de Telecommunicatiewet blijkbaar nú al wijzigen. In het conceptwetsvoorstel (.pdf) voor wijziging van de Wet bescherming persoonsgegevens wordt namelijk een meldplicht voorgesteld die zeer vergelijkbaar is met die uit de Telecommunicatiewet, maar die nu aan College Bescherming Persoonsgegevens moet worden gedaan. Op zich wordt een wirwar aan instanties voor dezelfde meldplicht (m.b.t. persoonsgegevens) deels voorkomen door het CBP als instantie voor te wijzen, maar de toezicht zou nog steeds moeten liggen bij de OPTA. Bovendien is het onduidelijk wat nu de bedoeling is met dat meldpunt waar in de toelichting van de wijzigingswet voor de Telecommunicatiewet over wordt gesproken.

In het conceptwetsvoorstel wordt van een algemene meldplicht uitgegaan voor zowel private als publieke partijen. Dat is een discrepantie met het regeerakkoord waar slechts werd gesproken over een meldplicht voor verlies bij persoonsgegevens voor ‘diensten in de informatiemaatschappij’. Bij dit begrip moet vooral gedacht worden aan webwinkels en hosting providers.

Betrokken moeten alleen worden geïnformeerd indien het incident heeft geleid tot een ‘aanmerkelijk risico dat het incident leidt tot verlies of de onrechtmatige verwerking van persoonsgegevens’. De verantwoordelijke in de zin van de Wbp moet de melding doen en betrokkenen inlichten. Hoe deze melding precies moet plaatsvinden is afhankelijk van het aantal betrokkenen bij het beveiligingsincident. Een kleine kring betrokkenen kan volgens de toelichting op het voorstel persoonlijk worden ingelicht en anders kan met een advertentie in een dagblad worden volstaan. Het verbaast mij dat e-mail niet expliciet als voorbeeld wordt genoemd.

Het blijft natuurlijk vaag wanneer precies zo’n melding moet worden gedaan aan betrokkenen. Eventueel kan de toezichthouder hier in beleidsregels duidelijkheid over geven. Versleuteling wordt als voorbeeld gegeven dat zo’n meldplicht aan betrokkenen (niet de toezichthouder) kan worden voorkomen. Echter, als een bedrijf echt goed gehackt wordt kan wellicht ook toegang worden verschaft tot de versleutelde bestanden.

Zie ook dit blogbericht van Dirkzwager Advocaten over het conceptvoorstel en de algemene meldplicht. 

Meldplicht voor financiële instellingen
In het conceptwetsvoorstel wordt uitgebreid ingegaan op meldplichten voor financiële instellingen. Het komt er op neer dat zij ook een soort meldplicht hebben, maar dan op grond van de artikelen 3:10 lid 3 en 4:11 lid 4 Wet op het financieel toezicht (Wft). Zij zijn verplicht informatie te verstrekken aan De Nederlandsche Bank (DNB en de Autoriteit Financiële Markten (AFM) over ‘incidenten die betrekking hebben op de integere bedrijfsvoering’. Skimmingspraktijken worden als voorbeeld genoemd als een incident dat valt onder de meldplicht. Financiële instellingen moeten hun cliënten informeren over het incident en als daartoe aanleiding bestaat schadeloos stellen. Indien nodig kan de DNB of AFM interveniëren bij de onderneming.

Let op: een openbare kennisgeving van het beveiligingsincident zoals voorgesteld in de Wbp is voor de financiële instellingen niet van toepassing. Door de informeringsplicht aan de cliënten van de banken en eventuele schadeloosstelling is volgens het conceptwetsvoorstel de bescherming van persoonsgegevens voldoende gewaarborgd. Voorkomen wordt dus dat nog een extra meldplicht aan de financiële instellingen wordt opgelegd. Opgemerkt wordt nog:

“Dergelijke openbare kennisgevingen in de financiële sector zijn - mede tegen de achtergrond van de financiële crisis – te risicovol om dwingend te worden voorgeschreven. Onvoorspelbaar is of een openbare kennisgeving kan leiden tot het ontstaan van geruchten die niet meer op zakelijke wijze ontzenuwd kunnen worden en die daardoor nodeloos aanleiding geven tot vermindering van vertrouwen van het publieke of de relevante markt.”

Daar kan ik mij op zich wel wat bij voorstellen, maar het is de vraag of de Kamerleden het ook voldoende vinden.

Meldplicht beveiligingslekken?
Kamerlid Jeanine Hennis-Plasschaert heeft tenslotte een motie voorgesteld (Kamerstukken II 2011/12, 26 643, nr. 202) die is aangenomen over de meldplicht voor inbreuken bij organisaties die zijn betrokken bij vitale informatiesystemen. Deze meldplicht is aangenomen in de tijd van het Diginotar-incident. Het is bedoeling dat het Nationaal Cyber Security Centrum daar dan over wordt ingelicht en er eventueel naar handelt. Opstelten heeft in zijn Kamerbrief over cybersecurity aangegeven dat hij vóór het zomerreces van 2012 laat weten of en op welke manier aan de motie uitvoer wordt gegeven.

Conclusie
Ik heb er niet zoveel ideeën over of de invoering van nieuwe meldplichten nu wel of niet verstandig is. Helemaal nieuw zijn ze niet, want voor beursgenoteerde bedrijven bestaat al een meldplicht bij incidenten die van invloed kunnen zijn op de koers en daarnaast bestaat er al een meldplicht voor het lekken van staatsgeheimen. Tenslotte kan een meldplicht ook contractueel overeen worden gekomen tussen partijen. Duidelijk is wel dat ook met het conceptwetsvoorstel bedrijven met verschillende instanties te maken kunnen hebben die toezien op de meldplichten. Dat maakt het wel allemaal wel ingewikkeld en bureaucratisch. Positief is dat bedrijven onder dreiging van een boete van 200.000 euro de beveiligingsplicht voor persoonsgegevens (zoals vastgelegd in artikel 13 Wbp) in de toekomst wellicht (nog) serieuzer zullen nemen.

Rechtbank Utrecht 7 december 2011, LJN BV0798 (Proximedia tegen handelsnaam PC 11 Ingenieursburo)
Hof Amsterdam, nevenzittingsplaats Arnhem 11 oktober 2011, LJN BU3275 (Proximedia tegen X)

Proximedia biedt informaticaprestaties aan. Zij richt zich hierbij met name op de kleine ondernemer. Vergelijkbaar met IT 665: reflexwerking colportagewet, echter bij arrest is geoordeeld dat er geen ruimte bestaat om reflexwerking toe te kennen, de partijen zullen in de gelegenheid worden gesteld zich bij akte uit te laten en hun stelling aan te passen.

Rechtbank Utrecht 16 november 2011, LJN BV0794 (eenmanszaak Porselein & Zo tegen Proximedia)

Proximedia biedt informaticaprestaties aan. Zij richt zich hierbij met name op de kleine ondernemer. Reflexwerking van Colportagewet niet na 2,5 jaar. Een beroep op dwaling slaagt evenmin, nu meer dan ruim 2 jaar later nadat zijn eiser zijn onderneming heeft gestaakt een beroep op dwaling wordt gedaan, komt voor rekening van de dwalende. Uitgebreid worden het kernbeding vs grijze lijst en onredelijke bezwarend beding besproken aan de hand van de gegeven casuïstiek (r.o. 4.11-4.15). Alle vorderingen worden afgewezen, in reconventie volgt een toewijzing van schadevergoeding vermeerderd met een contractuele rente van 8%.

4.3.  Vast staat dat [eiser] zich eerst bij brief van 28 oktober 2010 augustus 2010, derhalve ruim twee en half jaar na sluiting van de overeenkomst, beroept op de nietigheid van de overeenkomst op grond van de Colportagewet. Voorts staat vast dat partijen in de jaren 2008 en 2009 uitvoering hebben gegeven aan de overeenkomst zonder dat [eiser] enig signaal heeft gegeven dat er bij het sluiten van de overeenkomst iets niet goed zou zijn gegaan en dat hij zich overvallen heeft gevoeld door de vertegenwoordiger van Proximedia. Zelfs indien er veronderstellenderwijs vanuit wordt gegaan dat [eiser] dient te worden aangemerkt als een kleine - met een consument gelijk te stellen - ondernemer, kan in dit geval een beroep op de Colportagewet hem gelet op het vorenstaande reeds wegens tijdsverloop niet baten, zodat dit wordt afgewezen.

4.9.  [eiser] heeft ter comparitie van partijen verklaard dat hij de overeenkomst bij ondertekening vluchtig heeft doorgelezen en dat hij heeft gezien dat de duur van de overeenkomst vier jaar bedroeg. [eiser] verklaarde voorts dat hij de overeenkomst pas de avond na ondertekening goed heeft doorgelezen. In deze overeenkomst staat ook vermeld dat de laptop eigendom van Proximedia blijft alsmede dat een maandelijkse vergoeding verschuldigd was voor, onder meer, een website.
Voorts staat vast dat sindsdien door partijen uitvoering is gegeven aan de overeenkomst, en dat [eiser] eerst op 28 oktober 2010, derhalve meer dan ruim 2 jaar later en nadat hij zijn onderneming heeft gestaakt, een beroep op dwaling heeft gedaan. Gelet op deze omstandigheden dient de dwaling – indien er voor zover daarvan sprake is geweest – voor rekening van de dwalende te blijven.

4.13. (...) Indien dit beding niet zou zijn overeengekomen zou het voor de wederpartij niet mogelijk zijn de overeenkomst tussentijds te beëindigen. In dat geval zou Proximedia in elk geval aanspraak kunnen maken op de volledige overeengekomen maandtermijnen gedurende de duur van de overeenkomst, die immers is gesloten voor de bepaalde tijd van 48 maanden. Zonder dit beding zijn de wederzijdse verbintenissen derhalve voldoende bepaald. Ook kan niet kan worden gesteld dat zonder dit beding tussen partijen geen overeenstemming bestaat over het wezen van de overeenkomst. Naar objectieve maatstaven kan daarom niet worden geoordeeld dat dit beding de kern van de prestaties aangeeft. Ook het feit dat dit beding is opgenomen in de zogenaamde grijze lijst (artikel 6:237 aanhef en onder i) vormt een aanwijzing dat geen sprake is van een kernbeding, maar van een algemene voorwaarde in de zin van artikel 6:231 aanhef en onder a BW.

Hof Leeuwarden 31 januari 2012, LJN BV2348 (AIS Flight Academy B.V. tegen geïntimeerde)

Vraag of sprake is van een fatale termijn voor nakoming. Opschortingsrecht ten aanzien van overdracht domeinnamen. Kantonrechter heeft vordering van (beperkte) betaling van facturen toegewezen. Het hof oordeelt dat geïntimeerde zich terecht beroept op opschorting voor zover het gaat om overdracht van de domeinna(a)m(en).

AIS exploiteert een vliegschool. Zij heeft [geïntimeerde] in december 2008 mondeling de opdracht gegeven voor haar een website te bouwen en te zorgen voor registratie van de domeinnaam aisflightacademy.nl. Op 16 januari 2009 werd de site online gezet, waarna is geconstateerd dat een aantal dingen mis was met de inhoud en animaties. Op 21 januari is opgave gedaan wat er nog aangepast moet worden: animatie logo AIS, animatie actietekst en button, animatie vliegtuig, pop-up bij unieke punten AIS opleiding, eventueel cockpit foto in footer site. Bij de aanvang van de werkzaamheden heeft geïntimeerde de domeinnamen aangevraagd en geen gehoor gegeven deze over te dragen.

De kantonrechter heeft deze vordering toegewezen, onder verwerping van de verweren van AIS dat zij de overeenkomst buitengerechtelijk mocht ontbinden wegens overschrijding van de fatale termijn voor nakoming en mocht verrekenen omdat [geïntimeerde] jegens AIS schadeplichtig is. Volgens de kantonrechter was een ingebrekestelling vereist en mag [geïntimeerde] de overdracht van de domeinnamen opschorten zolang betaling uitblijft.

12.5 Het hof is van oordeel dat [geïntimeerde] zich terecht beroept op voortduring van zijn opschortingsrecht voor zover het gaat om de domeinnaam of -namen waarvan hij de hosting volgens de overeenkomst tussen partijen diende te verzorgen. Welke dat is of zijn, kan het hof pas beoordelen nadat AIS gelegenheid heeft gehad zich kort,bij akte, uit te laten over productie 12 bij memorie van antwoord.

Op andere blogs:
Ius Mentis (Met een domeinnaam in verzuim)
DomJur

Hof 's-Gravenhage 27 december 2011, LJN BV1678 (Scope Werving en Selectie tegen KPN B.V.)

Met bespreking door Menno Weij, SOLV.

Overeenkomst? Wil en verklaring. (Hoogte van de) schade. Het hof Den Haag heeft een interessante uitspraak gedaan tussen Scope en KPN inzake een tekortkoming bij webhostingdiensten en de begroting van de schade, waarbij het hof ook kort stilstaat bij het maken van backups.

FEITEN

Het gaat in deze zaak om het volgende. Tussen Scope en Tiscali Business Services (hierna: Tiscali) bestond een overeenkomst op grond waarvan Scope een ADSL-internetverbinding en daarbij behorende hostingdiensten verschafte, waardoor Scope gebruik kon maken van de domeinnaam scope-vacatures.nl en het bijbehorende e-mailadres.

Bij brief van 11 februari 2008 schreef Tiscali aan Scope onder meer het volgende:
“Zoals u inmiddels wellicht heeft vernomen, heeft KPN Tiscali in 2007 overgenomen. Per 1 april 2008 zal onze ADSL-dienstverlening (…) worden stopgezet. U kunt dan niet langer gebruikmaken van uw ADSL-verbinding met contractnummer: 554879 en de bijbehorende hostingdiensten. Maar we laten u uiteraard niet in de kou staan.
Onderaan deze brief vindt u een passend alternatief van KPN: Zakelijk ADSL lite (3000/512) in combinatie met Exchange Online Lite en Webhosting Online. Deze diensten zijn vergelijkbaar met uw huidige abonnement van Tiscali Business. Zo kunt u na de overstap gewoon doorwerken zoals u dat gewend was. (…).
Als u gebruik wilt maken van dit combinatieaanbod hoeft u niet te reageren. Op 25 maart 2008 zal de overstap van uw ADSL-verbinding naar KPN plaatsvinden. Maakt u gebruik van hostingdiensten, dan wordt u hierover apart geïnformeerd.
Mocht u (…) geen gebruik willen maken van onderstaand aanbod, dan kunt u contact opnemen met de migratiedesk (…).
P.S. Indien u niet binnen drie weken na dagtekening van de brief reageert, gaan we ervan uit dat u het aanbod van KPN accepteert. Binnenkort neemt één van onze medewerkers contact met u op om de overstap door te spreken”

Op de achterzijde van de brief stond in een zwart blok” Dit heeft u” met een overzicht van het contract met Tiscali en de daarvoor te betalen prijs in een tweede zwart blok “Dit krijgt u bij KPN” met een overzicht van de aanbieding van KPN, bestaande in Zakelijk ADSL Lite (3000/512) en Exchange Online Lite + Webhosting Online, met de daarbij behorende prijzen.

Scope heeft naar aanleiding van de brief van 11 februari 2008 niet gereageerd.

Bij e-mailbericht van 6 maart 2008 deelden Tiscali en KPN aan Scope het volgende mede:
“Hierbij bevestigen wij uw overstap naar Zakelijk ADSL Lite (3000/512) van KPN (…). Deze overstap zal plaatsvinden op 25 maart. Dit is tevens de ingangsdatum van uw nieuwe contract bij KPN. Tiscali Business zal per 25 maart uw huidige contract beëindigen (…). Uiterlijk 5 werkdagen voor de migratiedatum bezorgt TNT op uw aansluitadres de gratis router van KPN (…). Deze router is op de dag van de migratie eenvoudig zelf te installeren met behulp van de bijgeleverde installatiehandleiding en CD-rom. (…)”

Scope heeft niet gereageerd en geen router ontvangen.

Op 28 mei 2008 waren beide domeinnamen van Scope geblokkeerd, waardoor de e-mail en de website van Scope niet toegankelijk waren. Draese, directeur van Scope, heeft daarop contact opgenomen met de “Zakelijke Overstap Desk” die de overgang van Tiscali naar KPN regelde en te horen gekregen dat Scope op 26 maart 2008 telefonisch te kennen had gegeven niet mee te willen migreren naar KPN. Scope heeft dit ontkend en verzocht de overstap te doen plaatsvinden en heeft dit diezelfde dag per e-mail bevestigd. Vervolgens waren e-mail en website toegankelijk tot 14 juli 2008. KPN heeft Scope meegedeeld dat Scope zelf had gemeld niet te willen overstappen, waarop Scope KPN heeft verzocht de overstap alsnog te bewerkstelligen. KPN heeft Scope bericht dat zij dat niet meer kon. Scope heeft vervolgens op 21 juli 2008 de domeinnamen zelf naar KPN verhuisd.

DE VORDERING

Scope vordert veroordeling van KPN tot betaling van € 100.868,40, primair op grond van wanprestatie, subsidiair op grond van onrechtmatige daad. Zij stelt primair dat tussen haar en KPN een overeenkomst is tot stand gekomen in de uitvoering waarvan KPN is tekortgeschoten door de website, het e-mailadres en de aan de website gekoppelde database niet te migreren. Subsidiair voert zij aan dat KPN onrechtmatig heeft gehandeld door geen overeenkomst met haar aan te gaan.

De rechtbank heeft geoordeeld dat tussen Scope en KPN alleen een overeenkomst is tot stand gekomen wat betreft de ADSL-verbinding (Zakelijk ADSL Lite (3000/512)), maar niet ten aanzien van de hostingdiensten (de Exchange Online Lite en Webhosting Online) en de schadevergoeding wegens wanprestatie in die overeenkomst geraamd op € 612,-. De vordering voor zover gestoeld op onrechtmatige daad heeft zij afgewezen.

HET HOF

Overeenkomst?

Grief I is gericht tegen het oordeel van de rechtbank dat met betrekking tot de hostingdiensten geen overeenkomst tussen KPN en Scope tot stand is gekomen.

Het hof neemt met Scope tot uitgangspunt dat het zowel voor de vraag of een overeenkomst is tot stand gekomen als voor de vraag tussen welke partijen die overeenkomst is gesloten, aankomt op de zin die partijen in de gegeven omstandigheden redelijkerwijze aan elkaars verklaringen en gedragingen mochten toekennen en op hetgeen zij te dien aanzien redelijkerwijs van elkaar mochten verwachten. Scope heeft de zinsneden in de brief van 11 februari 2008 met betrekking tot het daarin genoemde passende alternatief opgevat als een aanbod van KPN en zij heeft in de gegeven omstandigheden ook redelijkerwijze die zin aan de verklaring mogen toekennen. Tiscali kondigt eerst al aan dat zij door KPN is overgenomen, waardoor bij Scope allicht de gedachte kon postvatten dat Tiscali hier mede namens KPN optrad, dan wel dat met Tiscali in wezen nu KPN zelf was bedoeld. Vervolgens wordt meegedeeld dat Scope onderaan de brief een passend alternatief van KPN vindt, vergelijkbaar met haar huidige abonnement en dat zij als zij van dit combinatieaanbod gebruik wil maken niet behoeft te reageren. Daarbij komt dat Scope begreep dat er Tiscali en KPN veel aan was gelegen dat zo veel mogelijk klanten van Tiscali naar KPN zouden overstappen, zodat zij het zo gemakkelijk mogelijk maakten om die overstap te bewerkstelligen. Op grond van deze omstandigheden kon Scope ervan uitgaan dat (Tiscali namens) KPN haar een aanbod deed dat zij door niet te reageren kon aanvaarden.

Het standpunt van KPN dat hier geen sprake is van een aanbod, omdat geen verklaring van KPN voorhanden is, wordt verworpen. Op grond van de hiervoor genoemde feiten, te weten dat Tiscali op dat moment reeds door KPN was overgenomen en met zoveel woorden vermeldde dat het om een aanbod van KPN ging en dat ook onderstreepte door het zwarte blokje “Dit krijgt u bij KPN”, nam Scope aan en mocht zij ook aannemen dat Tiscali namens KPN het aanbod deed. Op 6 maart 2008 vond ook een bevestiging per e-mail plaats van de overstap door KPN en Tiscali samen.

Wil en Verklaring?

Scope stelt dat zij vervolgens dit aanbod heeft geaccepteerd door niet te reageren, zoals in de brief was aangegeven. KPN betwist dat. Zij voert aan dat het uitblijven van een reactie niet als een aanvaarding kan worden aangemerkt, omdat het geen verklaring is in de zin van artikel 3:37 lid 1 BW, en daarenboven geen verklaring is die KPN heeft bereikt.

Het hof oordeelt als volgt. Artikel 3:37 lid 1 BW is van regelend recht. In dit geval heeft KPN (dan wel Tiscali namens haar) in de brief van 11 februari 2008 met zoveel woorden aan Scope toegestaan om te aanvaarden door niet te reageren. Scope mocht de zinsnede “als u gebruik wilt maken van dit combinatieaanbod hoeft u niet te reageren” opvatten als een tot haar gerichte verklaring inhoudend dat het uitblijven van een reactie van haar kant voor KPN de betekenis had dat Scope het aanbod van KPN aanvaardde. De aanvaarding kon in het onderhavige geval dus door niet reageren geschieden en dat is vervolgens ook gebeurd.

Het hof verwerpt met het voorgaande ook het standpunt van KPN dat de bewoordingen van de correspondentie (combinatieaanbod, aanbod, accepteren) misleidend zijn. Wat daarvan zij (de bewoordingen lijken op het eerste gezicht helder), in elk geval heeft Scope de betreffende zinsneden in de brief van 11 februari 2008 opgevat als een tot haar gericht aanbod dat zij door niet reageren kon aanvaarden en zij heeft dat gelet op de omstandigheden van het geval ook mogen doen.

Ook het verweer van KPN (in hoger beroep) dat de zinsnede: “Maakt u gebruik van hostingdiensten, dan wordt u hierover apart geïnformeerd” niet voor tweeërlei uitleg vatbaar is en betekent dat alleen ten aanzien van de e-maildiensten een concreet aanbod wordt gedaan, wordt verworpen. De bewoordingen van de brief, inhoudend dat Scope onderaan de brief een passend alternatief van KPN kon aantreffen, bestaande in Zakelijk ADSL Lite (de e-maildienst) in combinatie met Exchange Online Lite en Webhosting Online (de hostingdienst), mocht Scope opvatten als een aanbod voor beide diensten. Daarbij is van belang dat in de volgende alinea werd gesproken van een combinatieaanbod en dat in het zwart geblokte gedeelte, onder het kopje “Dit krijgt u bij KPN” beide diensten, zowel de e-maildienst als de webhosting, werden genoemd. Dit alles brengt mee dat Scope en KPN een overeenkomst hebben gesloten met betrekking tot e-mail- en hostingdiensten die van kracht werd toen Scope niet binnen drie weken had gereageerd.

De opvatting van KPN dat met de bevestiging van de overstap bij brief van 6 maart 2008 het stadium van nietsdoen was geëindigd en dat geen overeenkomst is tot stand gekomen omdat Scope niet de in de brief genoemde handelingen heeft verricht en telefonisch heeft gemeld dat zij de overeenkomst nog in beraad had, wordt verworpen. Scope mocht op grond van de inhoud van de brief van 11 februari 2008 aannemen dat zij door niet te reageren een overeenkomst met KPN had gesloten met betrekking tot e-mail- en hostingdiensten. Zij mocht de brief van 6 maart 2008, die aanving met de woorden “Hierbij bevestigen wij uw overstap naar Zakelijk ADSL Lite (3000/512) van KPN (…). Deze overstap zal plaatsvinden op 25 maart. Dit is tevens de ingangsdatum van uw nieuwe contract bij KPN.” opvatten als een bevestiging van de reeds gesloten overeenkomst en behoefde uit de zinsnede “Belangrijke informatie bij uw nieuwe verbinding via KPN” met daaronder een aantal instructies niet op te vatten als een terugkomen op die eerder gesloten overeenkomst noch als een aanbod om een overeenkomst te sluiten door instructies uit te voeren. Bij dit laatste is van belang dat, als onvoldoende weersproken, vast staat dat de e-mailverbinding en de website, afgezien van de onderbreking op 28 mei 2008, tot 14 juli 2008 gewoon hebben gewerkt.

Aan het verweer van KPN dat zij met Scope contact heeft opgenomen op 26 maart 2008 en toen heeft vernomen dat Scope overwoog met een andere dienstverlener te contracteren en zelf contact met KPN zou opnemen als zij haar diensten wenste te gebruiken wordt voorbijgegaan, omdat Scope dit telefoongesprek gemotiveerd betwist en KPN haar bewijsaanbod op dit punt tijdens de comparitie in eerste aanleg heeft ingetrokken.

Bovendien geldt het volgende. Scope heeft onweersproken gesteld dat zij op 28 mei 2008, toen haar website voor het eerst uit de lucht was, contact heeft gehad met de “Zakelijk Overstap Desk”, die alle zaken regelde met betrekking tot het overstappen van Tiscali naar KPN, en toen (nogmaals) heeft bevestigd en toestemming heeft gegeven om haar domeinnamen naar KPN te migreren. Als de overeenkomst met betrekking tot de hostingdienst dus niet al in maart 2008 was tot stand gekomen, is zij op 28 mei 2008 een feit geworden. Het verweer van KPN dat Scope alleen contact heeft gehad met Tiscali wordt verworpen, omdat KPN onvoldoende gemotiveerd heeft weersproken dat de “Zakelijk Overstap Desk” een door Tiscali en KPN samen opgezette instantie was om de migratie van Tiscali naar KPN te begeleiden, zodat Scope ervan mocht uitgaan dat haar verzoeken (ook) aan KPN waren gericht en (mede) door haar werden beantwoord.

Schade

KPN heeft betwist schadevergoeding verschuldigd te zijn en zich daartoe beroepen op een exoneratie in de algemene voorwaarden van Tiscali. Dit beroep wordt verworpen, omdat op grond van het hiervoor overwogene een overeenkomst tot stand is gekomen tussen KPN en Scope, zodat - in elk geval op het moment waarop de schade is geleden, dat wil zeggen na 14 juli 2008 – niet het contract met Tiscali, maar het contract met KPN gold. Dat KPN algemene voorwaarden hanteerde die door Scope als geheel zijn aanvaard in de zin van art. 6:232 BW, heeft KPN onvoldoende gesteld.

Verder voert KPN aan dat de tekortkoming haar niet toerekenbaar is omdat zij is ontstaan door schuldeisersverzuim van Scope. Zij stelt dat zij haar verbintenissen niet kon nakomen, omdat Scope daaraan de vereiste medewerking onthield, doordat zij niet de in de brief van 6 maart 2008 gegeven instructies heeft uitgevoerd.

Het hof oordeelt als volgt. Of medewerking is vereist en wat de inhoud is van de medewerking is afhankelijk van de omstandigheden van het geval, waaronder de aard van de verbintenis en hetgeen partijen daarover over en weer hebben verklaard en uit elkaars verklaringen en gedragingen hebben kunnen afleiden. In dit geval had KPN met de brief van 11 februari 2008 de indruk gevestigd dat de overstap zonder enige handeling van de zijde van Scope zou plaatsvinden door de zinnen: “Wij stoppen maar u kunt gewoon verder” en “Zo kunt u na de overstap gewoon doorwerken zoals u dat gewend was”. Vervolgens noemt KPN in de brief van 6 maart 2008 als handelingen die Scope diende te verrichten alleen het wijzigen van de SMTP-server na de overgang en het installeren van de router na bezorging. Tussen partijen staat echter vast dat de router niet bij Scope is bezorgd en gelet op de tekst van de hiervoor genoemde brief moet worden aangenomen dat eerst, vóór de migratiedatum, de router zou worden bezorgd en pas daarna, ná de overgang, de SMTP-server diende te worden gewijzigd. Nu KPN de router niet heeft bezorgd is zij in crediteursverzuim geraakt, en kon Scope niet meer in verzuim raken. Bovendien staat tussen partijen vast dat de e-mail en de website tot 14 juli 2008 (met een onderbreking op 28 mei 2008) ook inderdaad onveranderd hebben gewerkt. Scope mocht dus aannemen dat haar medewerking niet nodig was om het voor KPN mogelijk te maken haar verbintenis na te komen.

Ook het beroep door KPN op eigen schuld van Scope, voor zover dat is gestoeld op hetzelfde feitencomplex dat ten grondslag is gelegd aan het beroep op schuldeisersverzuim, wordt verworpen, omdat KPN onvoldoende duidelijk heeft gemaakt welke maatregelen Scope had kunnen nemen, zolang de router niet was bezorgd. Het beroep op eigen schuld in verband met het niet maken van een back-up van de database wordt hierna onder 24 besproken.

De Hoogte van de schade

Scope vordert vergoeding van de volgende posten:
a. externe hulp om alle computerinstellingen aan te passen € 195,-
b. opnieuw opbouwen van de database € 799,-
c. omzetverlies gedurende drie maanden (3 x 28.166,67) € 84.500,-
d. uren van de directeur Draese (60 x € 41,70) € 2.502,-
e. buitengerechtelijke kosten op basis van Voorwerk II

De onder a. genoemde kosten zijn door de rechtbank toegewezen en daartegen is geen grief gericht. Ook het hof zal dit bedrag derhalve toewijzen.

De onder b. genoemde kosten voor het opnieuw opbouwen van de database vordert Scope omdat aan haar website een database hing waarin gegevens waren opgeslagen van vacatures van bedrijven en van personen die op zoek waren naar een baan. Deze database was verdwenen toen de website uit de lucht werd gehaald en moest geheel worden opgebouwd. KPN voert hiertegen aan dat Scope zelf een back-up van haar database had moeten maken of dat aan Tiscali of KPN had moeten vragen, nu deze het maken van back-ups als extra dienst aanbieden.

Dit verweer van KPN slaagt. Het hof is van oordeel dat Scope gehouden was om – ter voorkoming van eventuele schade – te zorgen voor een back-up van haar database, nu de gegevens daarop klaarblijkelijk van groot belang waren voor de uitoefening van haar bedrijf. De schade is in zo grote mate veroorzaakt door haar nalaten, dat de tekortkoming van KPN op dit punt in het niet valt. Deze schadepost dient daarom voor rekening van Scope te blijven.

Wat betreft het onder (c) genoemde omzetverlies stelt Scope dat zij gedurende drie maanden geen mogelijkheid heeft gehad om personen te plaatsen, omdat de database gedurende die periode uit de lucht was. Zij ontvangt gemiddeld € 28.166,67 per maand aan fees, en begroot haar schade op driemaal dat bedrag. KPN voert daartegen aan dat Scope geen begroting kan indienen ter onderbouwing van haar schade en dat Scope de schade niet zou hebben geleden als zij een back-up van haar database had gemaakt.

Het hof is van oordeel dat Scope door overlegging van de ontvangen fees van januari tot juli 2008 en door overlegging van haar agenda van juli tot december 2007 en dezelfde periode van 2008 voldoende aannemelijk heeft gemaakt dat zij schade lijdt. KPN betwist ook niet dat Scope voor haar werkzaamheden grotendeels afhankelijk is van het internet. Wel voert KPN met recht aan dat Scope de schade aan zichzelf heeft te wijten, voor die periode waarin de website reeds was hersteld, maar nog niet werkzaam door het ontbreken van de database. Scope heeft de periode waarin de website zelf uit de lucht was, en waarin dus ook bij aanwezigheid van een back-up geen internetverkeer mogelijk was, bij pleidooi in hoger beroep, in zoverre onweersproken, gesteld op één maand, van 14 juli tot 14 augustus 2008. Tijdens de comparitie in eerste aanleg heeft P. Draese, directeur van Scope, verklaard dat het derde kwartaal een slecht kwartaal was voor de branche. Bovendien valt de periode waarin geen internet mogelijk was midden in de zomerperiode. Een en ander geeft het hof reden om het omzetverlies te begroten op een halve maand omzetverlies,
dat is € 14.088,-.

Het onder (d) genoemde bedrag vordert Scope, omdat haar directeur vele uren heeft moeten besteden aan het oplossen van de internetproblemen. KPN betwist dat zij deze schade moet vergoeden. Zij voert aan dat deze kosten al onderdeel zijn van de omzetschade en bij toewijzing dubbel zouden worden vergoed.

Ook dit verweer van KPN slaagt. Aangenomen moet worden dat in de door Scope in rekening gebrachte fees de kosten van haar bedrijf, waaronder de salarissen van de werknemers, zijn verdisconteerd, zodat deze kosten niet nogmaals kunnen worden gevorderd. Dit zou wellicht anders zijn, indien de directeur naast zijn normale uren extra uren had gewerkt om de internetproblemen op te lossen, maar dat is onvoldoende gesteld en gezien de weinige afspraken in de betreffende maand, ook niet aannemelijk geworden. De schade onder (d) komt daarom niet voor vergoeding in aanmerking.

In grief V keert Scope zich tegen de afwijzing van de vordering tot vergoeding van de buitengerechtelijke incassokosten. In hoger beroep beperkt zij die vergoeding tot het bedrag dat volgens Voorwerk II moet worden vergoed. KPN betoogt daartegenover dat de werkzaamheden behoren tot de kosten waarvoor de proceskostenveroordeling een vergoeding insluit.

Het hof is van oordeel dat de door Scope gestelde werkzaamheden, die bestaan in het zenden van twee brieven en het plegen van een aantal telefoontjes, behoren tot de verrichtingen waarvoor art. 241 Rv in een vergoeding voorziet. Deze vordering wordt dus afgewezen, waarmee grief V faalt.

Slotsom

De slotsom van het voorgaande is dat de grieven I, III en IV slagen. Grief II behoeft geen behandeling en grief V faalt. Het slagen van de drie grieven heeft tot gevolg dat het vonnis waarvan beroep zal worden vernietigd en de vordering van Scope zal worden toegewezen tot een bedrag van € 14.283,- (€ 195,-- + € 14.088,--), vermeerderd met de wettelijke rente, die niet is betwist, en voor het overige zal worden afgewezen. KPN zal als de voornamelijk in het ongelijk gestelde partij worden veroordeeld in de kosten van de eerste aanleg en die van het hoger beroep.

Een bijdrage van Wouter Dammers, SOLV.

Iedere zichzelf respecterende jurist (en rechtzoekende) maakt regelmatig gebruik van de website www.rechtspraak.nl. Dit is de officiële site van de rechtbanken, gerechtshoven, CRvB, CBb, Hoge Raad en Raad voor de rechtspraak. Veel jurisprudentie wordt bijvoorbeeld op deze website gepubliceerd.

Bij mijn bezoek van vandaag viel mij echter iets op aan de site: een klein, groen mannetje, voorzien van grafisch gestyleerde hoed en schoeisel, hupsend met de armen wijd. Daaronder: twee sterretjes. Een vreemd icoon, maar mijn nieuwsgierigheid was gewekt. Met een klik werd ik doorgeleid naar de website https://accessibility.nl/toetsing/info/842, waar de volgende tekst wordt getoond:

Certificaat van toegankelijkheid

De inspectie-instelling Accessibility, afdeling Inspectie te Utrecht, heeft na inspectie van de betreffende internetpagina's van de certificaathouder, Raad voor de rechtspraak, vastgesteld dat de gekeurde pagina's van de website www.rechtspraak.nl op het moment van inspectie voldoen aan alle prioriteit 1 en prioriteit 2 keuringseisen zoals vastgesteld in het Normatief document (Webrichtlijnen) versie 1 van 20-07-2007 inclusief appendix van 06-09-2010 van de Stichting Waarmerk drempelvrij.nl. De site voldoet hiermee tevens aan de prioriteit 1 en 2 ijkpunten van WCAG 1.0 van W3C”

Het inspectiecertificaat blijkt betrekking te hebben op alle pagina’s op www.rechtspraak.nl.

Maar wat is de juridische status van zo’n certificaat? Wat betekent het? En wat is het nut er van?

Juridische status van de Webrichtlijnen
Het certificaat is een voortvloeisel van de zogenaamde Webrichtlijnen. De Webrichtlijnen zijn verplicht gesteld voor websites die onder de ministeriële verantwoordelijkheid vallen. Dat is geregeld in het Besluit Kwaliteit Rijksoverheidswebsites. Intranetten vallen daar overigens niet onder – daar kan overigens wel weer andere wet- en regelgeving voor gelden, zoals de Algemene Wet Gelijke Behandeling. Ook gemeenten, waterschappen en provincies zijn verplicht om aan de webrichtlijnen te voldoen. Dit is vastgelegd in het bestuursakkoord Nationaal Uitvoeringsprogramma Betere Dienstverlening en e-overheid. De overheid heeft ervoor gekozen om eerst te proberen het beoogde resultaat op basis van goede gemeenschappelijke afspraken te verkrijgen. Als resultaten uitblijven, kan er alsnog een wet komen. In de Tweede Kamer is hier in 2009 al op gezinspeeld. Ook in de EU wordt overwogen een formele toegankelijkheidsvereisten voor websites op te leggen aan de lidstaten.

Wat houden de Webrichtlijnen in?
De Webrichtlijnen zijn van toepassing op alle webactiviteiten waarbij sprake is van een 'world wide web user interface' en betreffen een “paraplustandaard” die de belangrijkste specificaties voor webinterfaces omvatten, en de samenhang tussen die specificaties beschrijven. De richtlijnen zijn gebaseerd op de internationale richtlijnen ontwikkeld door het World Wide Web Consortium (W3C) voor de publicatie van informatie op internet.

Wat is het nut van de Webrichtlijnen?
Toch meer dan je in eerste instantie zou vermoeden: Wanneer een website is gebouwd volgens de Webrichtlijnen, voldoet deze aan de eisen voor de toegankelijkheid voor mensen met een functiebeperking; is deze toegankelijk voor alle gangbare zoektechnologieën en zijn ze – vanwege de gestructureerde opbouw – beter, goedkoper en efficiënter te beheren. De webrichtlijnen zijn tevens een instrument voor goed opdrachtgeverschap, aldus het Besluit Kwaliteit Rijksoverheidswebsites.

Brief aan Vereniging van Zorgaanbieders voor Zorgcommunicatie, doorstart landelijke infrastructuur (EPD), kenmerk: z2011-901

Het College bescherming persoonsgegevens (CBP) heeft de plannen beoordeeld op basis waarvan de ‘Vereniging van Zorgaanbieders voor Zorgcommunicatie’ de landelijke uitwisseling van medische gegevens – voorheen bekend als het elektronisch patiëntendossier (EPD) – in 2012 zal voortzetten. Het CBP concludeert dat dit zogeheten ‘Doorstartmodel’ geen bijzondere risico’s bevat op overtreding van de Wet bescherming persoonsgegevens (Wbp). Het CBP wijst er op dat deze conclusie slechts een beoordeling van het Doorstartmodel betreft en niets zegt over de praktijk. Het bovenstaande doet ook niet af aan de toekomstige uitoefening van zijn toezicht op het landelijk EPD. Het CBP zal blijven toezien op de gang van zaken rond het landelijk EPD gezien de schaal van de verwerking van persoonsgegevens en de gevoeligheid van de gegevens.