Antwoord kamervragen over een uitspraak van het Europese Hof van de Rechten van de Mensen over de opslag van vingerafdrukken, Aanhangsel van de Handelingen 2012/13, nr. 2245.
Zie EHRM in de zaak M. K. c. FRANCE (Requête no 19522/09,  IT 1119). Het arrest heeft geen gevolgen voor de Nederlandse geldende regelgeving en praktijk, reeds omdat op grond van het Besluit identiteitsvaststelling verdachten en veroordeelden, de vingerafdrukken van de verdachte na een vrijspraak of sepot worden vernietigd.

Vraag 2 en 3 - Raakt deze uitspraak de Nederlandse wetgeving en praktijk van het afnemen en opslaan van vingerafdrukken? Zo ja, op welke wijze en met welke gevolgen? Zo nee, waarom niet? Acht u het in het licht van deze uitspraak mogelijk dat ook Nederland in de afweging van publieke belangen, zoals het bestrijden van criminaliteit enerzijds en de particuliere belangen van de bescherming van de persoonlijke levenssfeer anderzijds, bij het opslaan van vingerafdrukken de grens van de «margin of appreciation» van artikel 8 van het Europees Verdrag van de Rechten van de Mens en de Fundamentele Vrijheden (EVRM) overschrijdt? Zo ja, op welke wijze? Zo nee, waarom niet?

Antwoord 2 en 3
In het arrest van het Europees Hof voor de Rechten van de Mens (verder: EHRM) van 18 april 2013, nr. 19522/09 (M.K. tegen Frankrijk) stond de regeling voor het bewaren van vingerafdrukken in Frankrijk centraal. In Frankrijk werden ook de vingerafdrukken van personen die zijn vrijgesproken of ontslagen van alle rechtsvervolging of wiens zaak was geseponeerd bewaard. Ook de vingerafdrukken van de klager werden, na een vrijspraak en een sepot voor twee diefstallen, bewaard. Het EHRM acht de toepassing van de Franse bewaarregeling in dit geval niet proportioneel en daarmee in strijd met artikel 8 EVRM.
Het arrest heeft geen gevolgen voor de Nederlandse geldende regelgeving en praktijk, reeds omdat op grond van het Besluit identiteitsvaststelling verdachten en veroordeelden de vingerafdrukken van de verdachte na een vrijspraak of sepot worden vernietigd.

Vraag 4
In hoeverre is deze uitspraak van belang bij uw toezegging gedaan bij het debat in de Eerste Kamer d.d. 9 april 2013 over het wetsvoorstel Herziening ten nadele (32 044)2 om die wet zodanig aan te passen dat «in gevallen waarin naar het oordeel van het OM vaststaat dat de vrijgesproken persoon het misdrijf onmogelijk kan hebben begaan, zijn gegevens niet zullen worden bewaard»? Kan deze uitspraak ook betekenen dat vingerafdrukken van geen enkele vrijgesproken persoon nog bewaard mogen worden? Zo ja, wat betekent dat voor de werking van de Wet herziening ten nadele? Zo nee, waarom niet?

Antwoord 4
Uit het arrest kan niet worden afgeleid dat de vingerafdrukken van vrijgesproken personen nimmer mogen worden bewaard. Het EHRM noemt in het arrest enkele factoren op basis waarvan hij («en conclusion») tot het oordeel komt dat de toepassing van de Franse bewaarregeling in de zaak van de klager niet proportioneel is. Een van die factoren is dat die regeling in het geheel geen onderscheid maakt tussen gegevens van veroordeelden en personen die, zoals de klager, zijn vrijgesproken (paragraaf 42). Een andere factor is dat de regeling niet uitsluit dat vingerafdrukken ook worden bewaard bij vrijspraken voor lichte strafbare feiten (paragraaf 41). In de voorgenomen bewaarregeling, die ter uitvoering van de Wet herziening ten nadele zal worden getroffen, zullen echter verschillende beperkingen worden opgenomen die bij veroordeelden niet zijn voorzien. De belangrijkste beperking is dat vingerafdrukken van vrijgesproken personen alleen – en in opdracht van de rechter-commissaris – voor een eventuele herziening ten nadele kunnen worden gebruikt. Zij zullen daartoe in de databank voor vingerafdrukken afgeschermd worden bewaard. Zij kunnen, anders dan bij vingerafdrukken van veroordeelden het geval is, dus niet worden gebruikt in andere strafzaken. Bovendien zullen vingerafdrukken alleen worden bewaard bij vrijspraken of een ontslag van alle rechtsvervolging voor misdrijven waarbij herziening ten nadele op grond van een novum mogelijk is. Er worden dus geen vingerafdrukken bewaard in geval van lichte strafbare feiten. Om deze redenen meen ik dat artikel 8 EVRM, zoals uitgelegd in het arrest, niet aan de voorgenomen bewaarregeling in de weg staat.
Uit mijn toezegging aan de Eerste Kamer, waaraan in de vraagstelling wordt gerefereerd, vloeit voort dat in de bewaarregeling een extra beperking zal worden opgenomen. Deze houdt in dat vingerafdrukken van vrijgesproken personen niet zullen worden bewaard wanneer naar het oordeel van het openbaar ministerie vaststaat dat de vrijgesproken persoon het misdrijf onmogelijk kan hebben begaan. Deze extra waarborg kan slechts bijdragen aan het oordeel dat de voorgenomen bewaarregeling proportioneel is in het licht van artikel 8 EVRM, doordat zij bewaring van vingerafdrukken uitsluit wanneer het doel van de regeling daarmee niet kan worden bereikt.

Een redactionele bijdrage van Sil Kingma, SOLV Samen.

Onlangs heeft Stichting Brein de rechter gevraagd om ING te gebieden om de NAW-gegevens van gevolmachtigden op een bepaalde bij ING aangehouden rekeningnummer te verstrekken [red. IEF 12670]. Brein is bekend geraakt met het rekeningnummer omdat hiernaar op een website van FTD World, de vermeende inbreukmakende partij, wordt verwezen. Voor een volledige uiteenzetting van het feitencomplex verwijs ik graag naar een eerdere bijdrage van mijn collega Caroline de Vries.

Volgens de rechter kan de vordering van Brein worden toegewezen indien voldoende aannemelijk is dat ING onrechtmatig handelt ten opzichte van Brein. Bij beantwoording van deze vraag komt het volgens de rechter neer op een afweging van de wederzijdse belangen. ING dient zich de privacybelangen van haar klanten aan te trekken. Het belang van Brein is erin gelegen dat zij dient op te treden tegen auteursrechtinbreuken ten behoeve van bij haar aangesloten rechthebbenden, aldus de rechter.

Geen wettelijke verstrekkingsplicht
In mijn bijdrage “De botsing tussen IE- en privacyrechten. Het einde van het Lycos/Pessers-tijdperk” in het tijdschrift Privacy & Informatie, heb ik al eens betoogd dat een rechter in een geval als het onderhavige - waarbij NAW-gegevens bij een derde worden gevorderd door een auteursrechthebbende – helemaal niet behoort toe te komen aan een belangenafweging. Op grond van Europese privacyregelgeving is voor honorering van een verzoek als in het onderhavige geval een specifieke wettelijke regeling vereist, die momenteel in de Nederlandse wetgeving ontbreekt. Alleen al om die reden had de rechter de vordering van Brein moeten afwijzen.

Doelbindingsbeginsel uit de Wbp
Daar komt bij dat de rechter, evenals de betrokken partijen, bij het afwegen van de wederzijdse belangen de relevante privacywetgeving – met name de Wet bescherming persoonsgegevens (hierna: "Wpb") - onjuist lijkt te hebben toegepast. Ter toelichting op dit standpunt het volgende.

De Wbp waarborgt het recht op eerbiediging van het recht op bescherming van de persoonlijke levenssfeer, met name met betrekking tot de geautomatiseerde verwerking van persoonsgegevens. Artikel 7 van de Wbp regelt dat persoonsgegevens van individuen alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden mogen worden verzameld. Deze doeleinden moeten bepalen welke persoonsgegevens worden verzameld, hoe ze mogen worden gebruikt en aan wie ze mogen worden verstrekt. Voor een rechtmatige verwerking van persoonsgegevens dienen ze bovendien vooraf aan de betrokken personen te zijn gecommuniceerd.

Het doelbindingsbeginsel (artikel 9 Wbp) schrijft voor dat een Verantwoordelijke, in dit geval ING, persoonsgegevens niet verder mag verwerken op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. Persoonsgegevens worden doorgaans door particulieren aan bank verstrekt met het doel een rekening te openen en/of andere financiële diensten af te nemen en niet met het doel om een bank in staat te stellen deze persoonsgegevens aan (derden) auteursrechthebbenden te verstrekken.

Een ander doel waarvoor ING blijkens het door haar gehanteerde privacystatement persoonsgegevens verzamelt, is om aan wettelijke verplichtingen te voldoen. Onder een wettelijke verplichting valt ieder wettelijk voorschrift. Zowel een wet in formele als een wet in materiële zin valt hieronder. Maar ook rechtstreeks werkende verdragsbepalingen.

Een bepaling op basis waarvan een bank gehouden kan worden om aan een auteursrechthebbende NAW-gegevens van mogelijk inbreukmakend handelende klanten te verstrekken, ontbreekt hier ter lande. Brein zou derhalve niet succesvol kunnen betogen dat het ING op basis van dit doel vrijstaat om de persoonsgegevens van de inbreukmakers aan haar te verstrekken. Ook de overige in het door ING gehanteerde privacystatement opgenomen doeleinden bieden geen rechtvaardigingsgrond voor inwilliging van de door Brein ingestelde vordering.

Het behoeft dan ook geen nader betoog dat honorering van het verzoek van Brein door ING, onvermijdelijk tot gevolg zal hebben dat ING persoonsgegevens zal verwerken op een wijze die onverenigbaar is met de doeleinden waarvoor ING ze heeft verzameld. In dat geval zou ING onvermijdelijk in strijd handelen met het doelbindingsbeginsel.

Nuance tussen artikel 8 en 43 Wbp
Het voorgaande neemt niet weg dat de rechter - met partijen - er vanuit gaat dat het doelbindingsbeginsel met een beroep op artikel 8 (f) van de Wbp aan de kant kan worden geschoven. Dit ten onrechte.

Artikel 8 Wbp versterkt uitsluitend en limitatief de rechtvaardigingsgronden op basis waarvan een Verantwoordelijke persoonsgegevens voor door hem vooraf welbepaalde doeleinden mag verzamelen en verder mag verwerken. Als gezegd is het verstrekken van persoonsgegevens aan een derde auteursrechthebbende niet een dergelijk vooraf vastgesteld en aan de rekeninghouder gecommuniceerd doel. Een inbreuk op het doelbindingsbeginsel van artikel 9 van de Wbp is daarom niet te rechtvaardigen met een beroep op artikel 8 (f) van de Wbp.

Volgens mij is een schending van artikel 9 Wbp door een Verantwoordelijke enkel toegestaan op basis van een beperkt aantal in artikel 43 van de Wbp opgenomen zwaarwegende belangen. De bescherming van degene waarvan persoonsgegevens worden verwerkt en van de rechten en vrijheden van anderen, is daar een van. Een ander belang is bijvoorbeeld de staatsveiligheid.

Brein had zich derhalve met een beroep op artikel 43 Wbp op het standpunt kunnen stellen dat het ING is toegestaan om het doelbindingsbeginsel te doorbreken. Als zwaarwegend belang had Brein de bescherming van de rechten van anderen, te weten de auteursrechten van de rechthebbenden die zij vertegenwoordigt, kunnen opvoeren.

Conclusie
Concluderend staat wat mij betreft vast dat niet artikel 8 (f) Wbp, maar enkel artikel 43 Wbp een grondslag voor een geoorloofde schending van het in artikel 9 Wbp neergelegde doelbindingsbeginsel kan bieden. Of het bewandelen van de route via artikel 43 Wbp in het onderhavige geval tot een andere uitspraak zou moeten leiden, is maar de vraag.. Zoals eerder aangegeven, lijkt de afwezigheid van een specifieke wettelijke bepaling die een auteursrechthebbende het recht verleent om NAW-gegevens bij derden op te vragen, hieraan in de weg te staan.

Sil Kingma
SOLV Samen

Hof 's-Hertogenbosch 28 mei 2013, LJN CA1524 (X tegen Technoton en Electronic c.s.)
Als randvermelding. Misbruik van bevoegdheid bij executie van dwangsommen. Nu in hoger beroep de vordering van Technoton jegens appellante alsnog is afgewezen, levert het opeisen van dwangsommen wegens het door appellante niet hebben voldaan aan het gebod tot nakoming waarvan de dwangsommen waren opgelegd waaraan appellante jegens Technoton niet (meer) hoefde te voldoen, misbruik van bevoegdheid op. Het hof vernietigt het vonnis en wijst (alsnog) de vordering van geïntimeerden c.s. af.

In citaten:

4.4 Het hof begrijpt uit de stellingen van [appellante] dat de in r.o. 5.1 en 5.2 neergelegde hoofdveroordelingen in haar visie aldus moeten worden uitgelegd, dat deze slechts hun grondslag vinden in een rechtsverhouding die bestaat tussen Technoton en [appellante] en dat om die reden de hoofdveroordelingen geacht moeten worden slechts jegens Technoton te zijn toegewezen.

4.5 Aan [appellante] kan worden toegegeven dat de gevorderde voorzieningen betalingen betreffen waartoe [appellante] jegens Technoton was gehouden en dat de door de rechtbank uitgesproken hoofdveroordeling in zoverre de toewijzing behelsde van een vordering van Technoton op [appellante]. Dat laat echter onverlet dat de rechtbank de op nakoming van die vordering gestelde dwangsom jegens alle eisende partijen heeft uitgesproken. Kennelijk achtte de rechtbank ook bij de andere eisende partijen een belang aanwezig bij nakoming door [appellante] van de hoofdvordering. Naar het oordeel van het hof kan uit het enkele feit dat de hoofdveroordeling een vordering van Technoton jegens [appellante] betrof dan ook niet zonder meer worden geconcludeerd dat de rechtbank met de hoofdveroordeling geen veroordeling jegens alle eisende partijen zou hebben beoogd.

4.6. (...) Bij de vraag of de executie van verbeurde dwangsommen misbruik van bevoegdheid oplevert, stelt het hof voorop dat de rechter in een executiegeschil een bijzondere terughoudendheid past. Voor de tenuitvoerlegging van iedere executoriale titel geldt dat het gesloten stelsel van rechtsmiddelen zich ertegen verzet dat misbruik van bevoegdheid wordt aangenomen, anders dan in sprekende gevallen.

4.7. (...) Nu in hoger beroep de vordering van Technoton jegens [appellante] alsnog is afgewezen, levert een opeisen door [geintimeerden] c.s. van dwangsommen wegens het door [appellante] niet hebben voldaan aan het gebod (tot nakoming waarvan de dwangsommen waren opgelegd) waaraan [appellante] jegens Technoton niet hoefde te voldoen, misbruik van bevoegdheid op.

CBP, CBP adviseert over brief- en telecommunicatiegeheim in Grondwet, adviesdatum 11 februari 2013, CBPWeb.nl.
Uit't persbericht: Het College bescherming persoonsgegevens (CBP) heeft geadviseerd over het conceptwetsvoorstel tot aanpassing van artikel 13 van de Grondwet (brief-, telefoon- en telegraafgeheim) aan de condities van de huidige tijd. Dit artikel zal voortaan ook gelden voor digitale communicatiemiddelen. Het aldus voorgestelde brief- en telecommunicatiegeheim richt zich primair tegen (heimelijke) inzage in de inhoud van communicatie door de overheid. Het CBP heeft bezwaar tegen het wetsvoorstel en adviseert het niet in de huidige vorm in te dienen.

In hoofdpunten:
Verkeersgegevens
In de toelichting bij het wetsvoorstel wordt aangegeven dat verkeersgegevens (informatie over de communicatie, zoals wanneer en hoe lang iemand heeft gebeld of geïnternet) niet primair tot het belang behoren dat artikel 13 van de Grondwet beoogt te beschermen, omdat zij niet de inhoud van de communicatie weergeven.
 
In het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM) en het Unierecht wordt niet op deze manier onderscheid gemaakt tussen verkeersgegevens en de communicatie-inhoud. Verkeersgegevens kunnen ook veel over iemand zeggen. Bij nieuwe communicatiemiddelen is het moeilijk een (technische) scheiding aan te brengen tussen verkeersgegevens en inhoud van de communicatie. Daarom adviseert het CBP nadere aandacht te besteden aan de reikwijdte van artikel 13.
 
Informed consent
Het CBP adviseert de passages over zogeheten informed consent in de toelichting bij het wetsvoorstel zodanig aan te passen dat alle drie de voorwaarden voor een geldige toestemming voor de gegevensverwerking op grond van de Wet bescherming persoonsgegevens (vrij, specifiek en geïnformeerd) worden genoemd.
 
Beperkingensystematiek Grondwet
De memorie van toelichting laat ruimte voor de mogelijkheid dat de burger minder bescherming kan ontlenen aan het voorgestelde artikel 13 van de Grondwet dan aan artikel 8 van het EVRM. Dat heeft te maken met de ruimere mogelijkheden in artikel 13 tot beperking van het grondrecht. Deze keuze is onvoldoende gemotiveerd, aldus het CBP.
 
Bescherming persoonsgegevens in randapparatuur
Gegevens opgeslagen in randapparatuur, zoals een computer of smartphone, worden niet beschermd in het voorgestelde artikel 13 van de Grondwet. Het CBP adviseert ook deze gegevens onder de bescherming van artikel 13 te laten vallen.

B. van der Sloot, De nieuwe consumentenrechten in de Algemene verordening gegevensbescherming: vergeten worden, dataportabiliteit en profilering, Tijdschrift voor Consumentenrecht en handelspraktijken 2012-6, p. 250-259.
De Europese Dataprotectierichtlijn stelt regels ten aanzien van de verwerking van persoonsgegevens. Anders dan het recht op privacy ziet het gegevensbeschermingsrecht niet zozeer op restricties, maar op waarborgen door middel van de codificatie van algemene zorgvuldigheidsnormen, en niet op de relatie tussen staat en burger,maar op die tussen burgers en bedrijven onderling. In januari 2012 is er een voorstel gedaan voor een Algemene verordening gegevensbescherming, die de richtlijn uit 1995 op termijn zal moeten vervangen. De verordening speelt onder meer in op het digitale tijdperk en de snelgroeiende internetdiensten. De verordening zet daarbij in op een vergroting van de handhavende rol van de staat en op concrete rechten van de consument, zoals het recht om vergeten teworden, het recht op dataportabiliteit en het recht op bescherming tegen profilering. Dit artikel belicht de belangrijkste wijzigingen onder de verordening,analyseert de nieuw toegekende consumentenrechten en beoordeelt in hoeverre de verordening consumenten in het digitale tijdperk een adequate bescherming zal bieden.

Lees verder

SCL The IT Law Community bericht: The EU data protection authorities are keen to see clear limits established on profiling and have published an advice paper on the topic.

In the latest input to the data protection reform discussions, the Article 29Working Party has published an advice paper on profiling, setting out some further guidance and indicating a preferred definition.

The Working Party believes that connecting personal data to create and use profiles has become an important challenge for individuals' rights and freedoms. Profiling is seen by them as enabling companies and public authorities to determine, analyze or predict peoples' personality or aspects of their personality – especially their behaviour, interests and habits. Furthermore, the Article 29 Working Party are concerned that people understand little about profiling and usually do not know to what extent they are being profiled.

Lees verder

B. van der Sloot, Tussen beeld en werkelijkheid: het verschil tussen de traditionele kartografie en Google Street View, Geo-Info 2013-3, p. 4-6.
Middels een 360 graden horizontaal en 290 graden verticaal panoramisch zicht kunnen gebruikers van de Google Street View rondlopen door de door hen aangeklikte straten en inzoomen op details in het beeld dat is gebaseerd op foto’s. Dit wijkt op een fundamentele wijze af van de tot nu toe gangbare vormen van kartografie, die doorgaans een extract van de werkelijkheid vormen en een presentatie geven op grond van bewust gekozen selecties. Het weergeven van het leven op straat in al zijn detail levert een flink aantal vragen op, waaronder de vraag naar de bescherming van de persoonlijke levenssfeer.

Lees verder

Grondwettelijk Hof 18 oktober 2012, arrest 119/2012, HvJ EU zaaknr. C-483/12 (Pelckmans Turnhout) - dossier
Vragen gesteld door het Grondwettelijk Hof, België.
Verzoekster exploiteert een tuincentrum en dat is ook de nering van verweersters, diverse zaken ‘Van Gastel’. Verzoekster klaagt dat verweersters hun bedrijven zeven dagen per week geopend hebben zodat zij inbreuk plegen op de Belgische “wet van 10 november 2006 betreffende de openingsuren in handel, ambacht en dienstverlening”. Zij eist dan ook dat deze praktijk een halt wordt toegeroepen, en dat verweersters op zichtbare wijze aangeven wat hun rustdag zal zijn.

Verweersters merken echter op dat zij gebruik maken van de uitzonderingen in de wet, dat wil zeggen verkoop op luchthavens, trein- en andere OV-stations, tankstations of andere verkoopgelegenheden langs snelwegen. Zij maken ook melding van partijdigheid: de uitzondering van de treinstations is door de wetgever genomen omdat hij aandeelhouder is van de Belgische spoorwegen.

Alle partijen merken op dat de parlementaire behandeling bescherming van welzijn en gezinsleven beoogde. Er geldt eigenlijk alleen een toegangsverbod voor de consument, maar niet een activiteitenverbod voor de handelaren. Ook wijzen zij op het bestaan van de internetwinkel waarvoor geen enkel sluitingsuur geldt.

De verwijzende Belgische rechter stelt het HvJ EU de volgende vragen:

“Dient het gelijkheidsbeginsel, neergelegd in artikel 6, derde lid, van het Verdrag betreffende de Europese Unie en in de artikelen 20 en 21 van het Handvest van de grondrechten van de Europese Unie, in samenhang gelezen met de artikelen 15 en 16 van het voormelde Handvest en met de artikelen 34 tot 36, 56 en 57 van het Verdrag betreffende de werking van de Europese Unie, aldus te worden geïnterpreteerd dat het zich verzet tegen een regeling zoals neergelegd in de artikelen 8, 9, 16 en 17 van de wet van 10 november 2006 betreffende de openingsuren in handel, ambacht en dienstverlening, doordat de daarin opgenomen verplichting tot het voeren van een wekelijkse sluitingsdag:

(i) niet van toepassing is op handelaren die gevestigd zijn in treinstations of in vestigingseenheden van maatschappijen voor openbaar vervoer, evenmin voor  verkopen in luchthavens en havenzones die openstaan voor het internationaal reizigersverkeer en ook niet voor verkopen in tankstations of vestigingseenheden gelegen op het domein van autosnelwegen, doch wel op handelaren die op andere locaties zijn gevestigd,

(ii) niet van toepassing is op handelaren die actief zijn in de verkoop van producten zoals kranten, tijdschriften, tabak en rookwaren, telefoonkaarten en producten van de Nationale Loterij, de verkoop van dragers van audiovisuele werken en videospelen, de verkoop van consumptie-ijs, doch wel op de handelaren die andere producten aanbieden,

(iii) enkel van toepassing is op de kleinhandel, te weten de ondernemingen die zich richten op verkopen aan de consument, terwijl ze niet van toepassing is op andere handelaren,

(iv) minstens een aanzienlijk grotere beperking met zich meebrengt voor de handelaren die hun activiteit voeren door middel van een fysiek verkooppunt, met rechtstreeks contact met de consument, dan voor de handelaren die hun activiteit voeren via een intemetwinkel of mogelijk via andere manieren van verkoop op afstand?”

Rechtbank Rotterdam 16 mei 2013, LJN CA1010 (curator Diginotar tegen Autoriteit Consument en Markt, voorheen OPTA)
Rechtspraak.nl: Besluit van de Autoriteit Consument en Markt (voorheen: Opta) van 13 september 2011 waarbij de registratie van Diginotar als certificatiedienstverlener (CSP) per 14 september 2011 om 12.00 uur is beëindigd. Verweerder heeft zich gebaseerd op onderzoek verricht door Fox-IT. Eiser heeft niet betwist dat Fox-IT over een bijzondere deskundigheid op het vlak van IT veiligheid beschikt om een onderzoek uit te voeren naar aanleiding van het beveiligingsincident bij Diginotar. Voorts bestaat er voor de rechtbank geen aanleiding om te veronderstellen dat Fox-IT in haar onderzoek of rapportage niet onafhankelijk zou hebben gehandeld. Gelet op de situatie ten tijde van het primaire en het betreden besluit was het interim-rapport van Fox-IT in dit kader goed bruikbaar. Uit het door verweerder verrichte onderzoek is genoegzaam gebleken dat het netwerk dat door Diginotar werd gebruikt voor de uitgifte van gekwalificeerde certificaten door een hack van het systeem ernstig was gecompromitteerd.

Bijgevolg was, mede doordat achteraf niet te achterhalen is wat de hacker precies heeft gedaan, de betrouwbaarheid van de gekwalificeerde certificaten die via deze servers werden gegenereerd, niet langer te garanderen. Een nader onderzoek of daadwerkelijk misbruik van gekwalificeerde certificaten heeft plaatsgevonden is niet relevant. Bij Diginotar bestond geen adequate beveiliging (meer) tegen het vervalsen van gekwalificeerde certificaten. Diginotar voldeed niet (meer) aan de belangrijke verplichtingen als bedoeld in artikel 2, eerste lid, aanhef en onder c en d, van het Besluit electronische handtekeningen. Uit de wetsgeschiedenis bij artikel 2.2, vierde lid, aanhef en onder c, van de Telecommunicatiewet blijkt dat de bevoegdheid van verweerder om een herstelmogelijkheid te bieden uitsluitend bedoeld is voor gevallen waarin geen sprake is van twijfels over de betrouwbaarheid van de gekwalificeerde certificaten. De rechtbank is van oordeel dat verweerder in het onderhavige geval terecht op grond van artikel 2.2, vierde lid, aanhef en onder b, van de Tw, zonder hersteltermijn, tot beëindiging van de registratie van Diginotar als CSP is overgegaan. Het beroep dient daarom ongegrond te worden verklaard.

7.2  Ook op basis van het onderzoek van Hoffmann kan niet worden uitgesloten dat frauduleuze gekwalificeerde certificaten zijn uitgegeven. Hoffmann stelt voorts in haar contra-expertise dat de hacker bestaande certificaten en certificaatdiensten (CRL’s) heeft gemanipuleerd, hetgeen is aan te merken als een overtreding van artikel 2, eerste lid, aanhef en onder m, van het Beh. Als gevolg daarvan was het voor de hacker niet alleen mogelijk om nieuwe gekwalificeerde certificaten aan te maken met een inhoud die door hem zelf kon worden vastgesteld, maar was het voor de hacker ook mogelijk om certificaten die de rechtmatige gebruiker heeft laten intrekken opnieuw uit te geven en te misbruiken.

Met deze na het bestreden besluit vastgestelde rapportages wordt naar het oordeel van de rechtbank de juistheid van de door verweerder in aanmerking genomen bevindingen in het interim-rapport van Fox-IT niet ontkracht.

8.   Volgens eiser is het uiterst onwaarschijnlijk dat de gekwalificeerde certificaten werkelijk gecompromitteerd waren. Eiser stelt zich dan ook op het standpunt dat, als er al sprake was van een beëindigingsgrond, het in de rede zou hebben gelegen dat verweerder artikel 2.2, vierde lid, aanhef en onder c, van de Tw zou hebben toegepast en Diginotar in de gelegenheid zou hebben gesteld om eventuele geconstateerde gebreken te herstellen.
Eiser betwist in dit verband de stelling van verweerder dat, indien de betrouwbaarheid van (het uitgifteproces) van de gekwalificeerde certificaten niet langer kan worden gewaarborgd, de Tw geen andere mogelijkheid biedt dan (onmiddellijk) de registratie te beëindigen omdat van enige discretionaire ruimte geen sprake zou zijn. Volgens eiser staat dat niet in de wet en gaat de Tw en de wetsgeschiedenis uit van een te stellen termijn, indien na onderzoek geconstateerd wordt dat niet aan bepaalde eisen is voldaan. Ter zitting heeft eiser er nadrukkelijk op gewezen dat het bestreden besluit enkel op het Beh is gebaseerd. Met name in het geval hieraan (en met de eisen bedoeld in artikel 18.15, eerste en tweede lid, van de Tw) niet wordt voldaan, is de c-grond destijds in 2003 aan artikel 2.2, vierde lid, van de Tw toegevoegd, teneinde de CSP-er de mogelijkheid te bieden om gebreken te herstellen. De zogenoemde b-grond dateert al uit 1998 en ziet meer op registraties in het algemeen.

8.1   Naar het oordeel van de rechtbank kan dit betoog van eiser niet slagen. Uit hetgeen hiervoor is overwogen volgt dat niet is uit te sluiten dat de gekwalificeerde certificaten zijn gecompromitteerd. Voorts bepaalt het vierde lid van artikel 2.2, aanhef en onder b, van de Tw, dat verweerder de registratie beëindigt indien een certificatiedienstverlener activiteiten of diensten verricht in strijd met het bepaalde bij of krachtens deze wet. Deze b-grond ziet dus op zowel artikel 18.15 van deze wet als op het Beh en is eveneens bedoeld voor certificatiedienstverleners. De c-grond is destijds met name aan het vierde lid van artikel 2.2 van de Tw toegevoegd in verband met een vrijwillige accreditatieregeling voor de CSP-er ter verbetering van certificatiedienstverlening. Op het moment dat een aangewezen certificatie-instelling twijfelt of een CSP-er aan de eisen van het Beh voldoet en verweerder hiervan in kennis stelt, kan verweerder aan de CSP-er een termijn stellen om een en ander te laten herstellen.

8.2  De rechtbank wijst in dit verband op de wetsgeschiedenis bij artikel 2.2, vierde lid, aanhef en onder c, van de Tw (Kamerstukken II 2000/2001, 27 743, nr. 3, p. 21), waaruit blijkt dat de bevoegdheid van verweerder om een herstelmogelijkheid te bieden uitsluitend bedoeld is voor gevallen waarin geen sprake is van twijfels over de betrouwbaarheid van de gekwalificeerde certificaten:
“Het stellen van een termijn wordt noodzakelijk geacht in verband met de mogelijke niet naleving van bepaalde vereisten die de betrouwbaarheid van een gekwalificeerd certificaat niet direct in twijfel trekken.”

Die twijfels waren er in het onderhavige geval wel. Er is vastgesteld dat bij Diginotar sprake is geweest van een ernstige inbraak en compromittering van de systemen die werden gebruik voor de aanmaak van gekwalificeerde certificaten, waardoor de betrouwbaarheid van de door Diginotar uitgegeven certificaten ter discussie stond. Gezien het feit dat de gevolgen van de compromittering van de servers niet meer ongedaan konden worden gemaakt en er activiteiten dan wel diensten zijn verricht die in strijd zijn met het bepaalde bij of krachtens de Tw, had verweerder naar het oordeel van de rechtbank geen andere keus dan op grond van artikel 2.2, vierde lid, aanhef en onder b, van de Tw, zonder hersteltermijn, tot beëindiging van de registratie van Diginotar als CSP over te gaan. Dat verweerder, aldus eiser, bij een incident met een hacker bij KPN niet tot prompte beëindiging heeft besloten, ziet op het feit dat er bij verweerder in dat geval geen sprake was van enige twijfel over de betrouwbaarheid van gekwalificeerde certificaten. Die twijfels waren er in dit geval wel.

9.   Het betoog van eiser dat verweerder ten onrechte geen belangen heeft afgewogen, kan evenmin slagen. Hoewel artikel 2.2, vierde lid, aanhef en onder b, van de Tw geen ruimte biedt voor een belangenafweging, heeft verweerder zich bij het besluit tot beëindiging van de registratie van Diginotar wel degelijk rekenschap gegeven van de gevolgen die deze beëindiging voor Diginotar zou kunnen hebben. Dit blijkt uit het feit dat verweerder Diginotar niet heeft gedwongen om direct de reeds uitgegeven gekwalificeerde certificaten in te trekken, maar haar daarvoor een termijn van twee weken heeft gegeven.

De niet-ontvankelijkverklaring bij het bestreden besluit dient, zo heeft verweerder ter zitting nader uiteen gezet, in het licht te worden gezien van de discussie die is ontstaan over de begeleidende brief bij het primaire besluit. Naar het oordeel van de rechtbank heeft verweerder toereikend gemotiveerd dat hij daarmee alleen heeft bedoeld aan te geven dat Diginotar bij de begeleidende brief slechts is gewezen op de wettelijke verplichtingen die volgen uit artikel 2 van het Beh, terwijl er voor verweerder in beginsel geen ruimte is voor enige belangenafweging.

10.   Gelet op hetgeen hiervoor is overwogen is de rechtbank van oordeel dat verweerder terecht op grond van artikel 2.2, vierde lid, aanhef en onder b, van de Tw, zonder hersteltermijn, tot beëindiging van de registratie van Diginotar als CSP is overgegaan. Het beroep dient daarom ongegrond te worden verklaard.

Vzr. Rechtbank Midden-Nederland 24 mei 2013, zaaknr. C/16/340095 / KG ZA 13-191 (Corendon tegen Klachtenradar.nl)
Uitspraak ingezonden door Wouter Dammers, ICTRecht.
Klachtenradar exploiteert de website KLACHT.nl. Bedrijven kunnen zich vrijwillig aanmelden en hebben de keuze tussen twee pakketten waarbij zij in ieder geval de status van een klacht kunnen wijzigen in 'in behandeling' of 'opgelost'. Een klager kan tegen elk willekeurig bedrijf een klacht indienen.

Corendon is vanaf november 2009 aangesloten bij de website. Klachtenradar heeft laten weten dat zij niet akkoord is met de wijze waarop de weergegeven oplossing is beschreven en blokkeert (na aankondiging) het bedrijfsaccount. Corendon c.s. sommeert Klachtenradar om te vermelden "Let op! Corendon is niet aangesloten bij klacht.nl en kan uw klacht dan ook niet in behandeling nemen". Corendon c.s. legt aan haar vordering ten grondslag dat door de wijze waarop Klachtenradar haar website inricht en zich presenteert, het publiek misleid wordt.

Klachtenradar suggereert, aldus de voorzieningenrechter, met de aangeboden dienst vervat in de bewoordingen "KLACHT.nl - helpt klachten oplossen" niet dat klachten daadwerkelijk worden opgelost. De voorzieningenrechter is van oordeel dat Corendon c.s. onvoldoende aannemelijk heeft gemaakt dat Klachtenradar door middel van de tekst die zij heeft geplaatst op haar website klagers misleidt.

Leestips, rechtsoverwegingen 4.5 - 4.9.

Emerce (Corendon verliest kort geding tegen Klacht.nl (update))
MediaReport (Rechter wijst klacht van Corendon tegen Klacht.nl van de hand)