Met dank aan Jan-Jaap Oerlemans, promovendus Universiteit Leiden en juridisch adviseur Fox-IT.

Tot en met 29 februari 2012 wordt een wijzigingswet van de Wet bescherming persoonsgegevens (Wbp) ter consultatie gegeven. In het concept van de wijzigingswet wordt onder andere ingegaan op de algemene meldplicht datalekken. Tegelijkertijd bestaan er nog een aantal sectorspecifieke meldplichten. In dit bericht wil ik overzicht geven van de meldplichten die al bestaan en nog in de maak zijn.

Meldplicht datalekken I
Bij de Eerste Kamer ligt nu een voorstel voor een meldplicht datalekken voor aanbieders van openbare elektronische communicatiediensten (denk aan telefoniebedrijven en internet service providers) dat betrekking heeft tot beveiligingsincidenten die nadelige gevolgen hebben voor de privacy van de betrokkenen. De meldplicht wordt geïmplementeerd naar aanleiding van Europese richtlijnen die wij inmiddels al in onze nationale wetgeving geïmplementeerd hadden moeten hebben.

Betrokkenen hoeven niet geïnformeerd te worden wanneer naar het oordeel van het College (hier nog de OPTA) gepaste technische maatregelen zijn genomen, waardoor geen toegang kan worden verschaft tot de persoonsgegevens. De OPTA moet dus wel in kennis worden gesteld, maar de melding aan de betrokkenen kan eventueel achterwege blijven. De OPTA heeft hierbij het laatste woord.

Daarnaast komt er een meldplicht voor ‘veiligheidsinbreuken en het verlies van integriteit in het geval deze een belangrijk effect hebben gehad op de continuïteit van het netwerk of de daarover geleverde diensten’. Die melding moet (hoogstwaarschijnlijk?) worden gedaan aan het Agentschap Telecom. Een meldpunt zou ervoor moeten zorgen dat geen overlap of onduidelijkheid optreed bij welke instantie nu een melding moet worden gedaan als het incident zowel gevolgen heeft voor zowel de bescherming van persoonsgegevens als de integriteit van het netwerk. Zie over deze meldplicht dit verhelderende artikel in het tijdschrift Computerrecht van Frederik Borgesius (UvA).

Meldplicht datalekken II
Het kabinet wil de voorgestelde meldplicht uit de Telecommunicatiewet blijkbaar nú al wijzigen. In het conceptwetsvoorstel (.pdf) voor wijziging van de Wet bescherming persoonsgegevens wordt namelijk een meldplicht voorgesteld die zeer vergelijkbaar is met die uit de Telecommunicatiewet, maar die nu aan College Bescherming Persoonsgegevens moet worden gedaan. Op zich wordt een wirwar aan instanties voor dezelfde meldplicht (m.b.t. persoonsgegevens) deels voorkomen door het CBP als instantie voor te wijzen, maar de toezicht zou nog steeds moeten liggen bij de OPTA. Bovendien is het onduidelijk wat nu de bedoeling is met dat meldpunt waar in de toelichting van de wijzigingswet voor de Telecommunicatiewet over wordt gesproken.

In het conceptwetsvoorstel wordt van een algemene meldplicht uitgegaan voor zowel private als publieke partijen. Dat is een discrepantie met het regeerakkoord waar slechts werd gesproken over een meldplicht voor verlies bij persoonsgegevens voor ‘diensten in de informatiemaatschappij’. Bij dit begrip moet vooral gedacht worden aan webwinkels en hosting providers.

Betrokken moeten alleen worden geïnformeerd indien het incident heeft geleid tot een ‘aanmerkelijk risico dat het incident leidt tot verlies of de onrechtmatige verwerking van persoonsgegevens’. De verantwoordelijke in de zin van de Wbp moet de melding doen en betrokkenen inlichten. Hoe deze melding precies moet plaatsvinden is afhankelijk van het aantal betrokkenen bij het beveiligingsincident. Een kleine kring betrokkenen kan volgens de toelichting op het voorstel persoonlijk worden ingelicht en anders kan met een advertentie in een dagblad worden volstaan. Het verbaast mij dat e-mail niet expliciet als voorbeeld wordt genoemd.

Het blijft natuurlijk vaag wanneer precies zo’n melding moet worden gedaan aan betrokkenen. Eventueel kan de toezichthouder hier in beleidsregels duidelijkheid over geven. Versleuteling wordt als voorbeeld gegeven dat zo’n meldplicht aan betrokkenen (niet de toezichthouder) kan worden voorkomen. Echter, als een bedrijf echt goed gehackt wordt kan wellicht ook toegang worden verschaft tot de versleutelde bestanden.

Zie ook dit blogbericht van Dirkzwager Advocaten over het conceptvoorstel en de algemene meldplicht. 

Meldplicht voor financiële instellingen
In het conceptwetsvoorstel wordt uitgebreid ingegaan op meldplichten voor financiële instellingen. Het komt er op neer dat zij ook een soort meldplicht hebben, maar dan op grond van de artikelen 3:10 lid 3 en 4:11 lid 4 Wet op het financieel toezicht (Wft). Zij zijn verplicht informatie te verstrekken aan De Nederlandsche Bank (DNB en de Autoriteit Financiële Markten (AFM) over ‘incidenten die betrekking hebben op de integere bedrijfsvoering’. Skimmingspraktijken worden als voorbeeld genoemd als een incident dat valt onder de meldplicht. Financiële instellingen moeten hun cliënten informeren over het incident en als daartoe aanleiding bestaat schadeloos stellen. Indien nodig kan de DNB of AFM interveniëren bij de onderneming.

Let op: een openbare kennisgeving van het beveiligingsincident zoals voorgesteld in de Wbp is voor de financiële instellingen niet van toepassing. Door de informeringsplicht aan de cliënten van de banken en eventuele schadeloosstelling is volgens het conceptwetsvoorstel de bescherming van persoonsgegevens voldoende gewaarborgd. Voorkomen wordt dus dat nog een extra meldplicht aan de financiële instellingen wordt opgelegd. Opgemerkt wordt nog:

“Dergelijke openbare kennisgevingen in de financiële sector zijn - mede tegen de achtergrond van de financiële crisis – te risicovol om dwingend te worden voorgeschreven. Onvoorspelbaar is of een openbare kennisgeving kan leiden tot het ontstaan van geruchten die niet meer op zakelijke wijze ontzenuwd kunnen worden en die daardoor nodeloos aanleiding geven tot vermindering van vertrouwen van het publieke of de relevante markt.”

Daar kan ik mij op zich wel wat bij voorstellen, maar het is de vraag of de Kamerleden het ook voldoende vinden.

Meldplicht beveiligingslekken?
Kamerlid Jeanine Hennis-Plasschaert heeft tenslotte een motie voorgesteld (Kamerstukken II 2011/12, 26 643, nr. 202) die is aangenomen over de meldplicht voor inbreuken bij organisaties die zijn betrokken bij vitale informatiesystemen. Deze meldplicht is aangenomen in de tijd van het Diginotar-incident. Het is bedoeling dat het Nationaal Cyber Security Centrum daar dan over wordt ingelicht en er eventueel naar handelt. Opstelten heeft in zijn Kamerbrief over cybersecurity aangegeven dat hij vóór het zomerreces van 2012 laat weten of en op welke manier aan de motie uitvoer wordt gegeven.

Conclusie
Ik heb er niet zoveel ideeën over of de invoering van nieuwe meldplichten nu wel of niet verstandig is. Helemaal nieuw zijn ze niet, want voor beursgenoteerde bedrijven bestaat al een meldplicht bij incidenten die van invloed kunnen zijn op de koers en daarnaast bestaat er al een meldplicht voor het lekken van staatsgeheimen. Tenslotte kan een meldplicht ook contractueel overeen worden gekomen tussen partijen. Duidelijk is wel dat ook met het conceptwetsvoorstel bedrijven met verschillende instanties te maken kunnen hebben die toezien op de meldplichten. Dat maakt het wel allemaal wel ingewikkeld en bureaucratisch. Positief is dat bedrijven onder dreiging van een boete van 200.000 euro de beveiligingsplicht voor persoonsgegevens (zoals vastgelegd in artikel 13 Wbp) in de toekomst wellicht (nog) serieuzer zullen nemen.

College van Beroep voor het bedrijfsleven 6 februari 2012 (KPN/OPTA), LJN: BV2871

Volgende stap in de strijd tussen Tele2 en KPN over de aanbesteding van vaste telefoniediensten door de Nederlandse Staat. Het College oordeelt dat OPTA bevoegd is om tegen de overtreding van KPN op te treden. Door de niet gelijktijdige bekendmaking van haar vrlaagde prijzen verkreeg KPN een informatievoorsprong. Dat heeft ervoor gezorgd dat de mogelijkheden van KPN en Tele2 bij het uitbrengen van een bod niet gelijk waren. KPN moet haar deelname aan de lopende aanbestedingsprocedure eindigen. Zie ook IT 319,  IT 172 en IT 208.

Update 7 februari 2012: KPN trekt bod in, zie Computable.

Brief regering betreffende de ICT-beveiligingsassessments DigiD gebruikende organisaties, Kamerstukken II, 26 643, nr. 224.

In deze brief ga ik in op de inzet van een aantal specifieke maatregelen zoals aangekondigd in de brief van 11 oktober 2011 met onderwerp: “Lekken in aantal gemeentelijke websites”. Daarin is u gemeld dat organisaties die gebruik maken van DigiD jaarlijks hun ICT-beveiliging, voor zover deze DigiD raakt, dienen te toetsen op basis van een ICT-beveiligingassessment.

Inhoudsopgave [red.]:
De norm voor ICT beveiliging
Uitvoeren ICT beveiligingassessments
Gefaseerdde aanpak
Grootgebruikers
Gemeenten, Provincies en Unie van Waterschappen.
Uitvoeren ‘hack’-testen
Communicatie richting organisaties
Tot slot

De norm voor ICT beveiliging
De ICT-beveiligingassessments worden uitgevoerd met de ICTBeveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum (NCSC,voorheen GOVCERT.NL) als basis. Deze beveiligingsrichtlijnen bevatten maatregelen op het gebied van netwerkveiligheid, besturingssysteem, basisbeveiliging (virusscanner, firewall) en
applicatiebeveiliging. Ook een ‘hack’-test ofwel een zogenaamde penetratietest maakt deel uit van de richtlijnen. De beveiligingsrichtlijnen zijn opgesteld in samenspraak met een aantal publieke en private partijen, waaronder beveiligingsexperts. De richtlijnen worden gepubliceerd op de website van het NCSC. Bij nieuwe dreigingen stelt het NCSC de beveiligingsrichtlijnen bij. De normstelling voor de assessments wordt bepaald door de belangrijkste elementen van de bovengenoemde richtlijnen. Met deze normstelling wordt een forse impuls gegeven aan de verdere kwaliteitsverhoging van de ICTbeveiliging bij de overheid.

Uitvoeren ICT beveiligingassessments Allereerst zullen de organisaties die DigiD gebruiken, geïnformeerd worden over de bovengenoemde normstelling. Op deze wijze kunnen de DigiD gebruikende organisaties de benodigde aanpassingen in hun organisaties treffen en zich adequaat voorbereiden op de ICT-beveiligingsassessments. Daarnaast dienen zij de ICT-beveiligingassessments te laten uitvoeren onder verantwoordelijkheid van een Register EDP-auditor.1 Deze auditors beschikken over de benodigde kennis en ervaring voor dergelijke onderzoeken. Organisaties die een Register EDP-auditor in dienst hebben, kunnen desgewenst een zogeheten self-assessment uitvoeren. Vervolgens dienen de conclusies van de ICT-beveiligingsassessments in de vorm van een rapportage door de gebruikende organisaties aan Logius2 te worden opgeleverd.

De Register EDP-auditors die in het register van de NOREA zijn ingeschreven, zijn onderworpen aan internationale regelgeving op het terrein van audit en assurance, waaronder de ‘Code of Ethics’ en de Richtlijn ‘Assurance Opdrachten’.

Gefaseerde aanpak
In de brief van mijn voorganger van 11 oktober jl. is aangegeven dat alle organisaties voor 1 april 2012 de ICT-beveiligingsassessments moesten hebben doorlopen. Omdat het belangrijk is te komen tot een duurzame richtlijn heeft dit zijn tijd gekost. Verder heeft nader onderzoek laten zien dat de markt op deze termijn niet kan voldoen aan de benodigde expertise met betrekking tot de assessments en penetratietesten. Ook zijn er signalen van DigiD gebruikende organisaties, waaronder VNG en KING3, dat de benodigde aanpassingen en de doorlooptijd niet onderschat moet worden. Naast de huidige aanpak waarbij ingeval van signalen altijd nader onderzoek plaatsvindt en ingeval van inbraak onverwijld wordt afgesloten van DigiD, heb ik gekozen voor een gefaseerde aanpak met betrekking tot de beveiligingsassessments. Daarbij wordt ingezet op prioriteiten als het gaat om type organisatie en het belang voor de burger. Grootgebruikers van DigiD dienen voor het eind van het jaar het ICTbeveiligingsassessment te hebben uitgevoerd. Overige organisaties dienen het assessment uiterlijk een jaar later uitgevoerd te hebben.

Grootgebruikers
Logius start per direct een samenwerkingstraject met de grootgebruikers van DigiD omdat deze cruciaal zijn voor de overheidsdienstverlening. Organisaties als de Belastingdienst, DUO en de UWV behoren daartoe. Het is ons streven om te komen tot een spoedige afronding van de assessments bij deze organisaties. Andere organisaties kunnen vanzelfsprekend daarop aansluiten. Logius biedt daarnaast ondersteuning aan organisaties (niet gemeenten) door voorlichting en het delen van best practices. Bij de vormgeving van het traject voor deze organisaties zal gebruik worden gemaakt van de ervaringen die bij de grootverbruikers zijn opgedaan, alsmede de impactanalyse bij een aantal gemeenten.

1 Electronic Data Processing auditor.
2 Logius is onderdeel van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
3 Kwaliteits Instituut Nederlandse Gemeenten

Gemeenten, Provincies en Unie van Waterschappen.      VNG start, ondersteund door KING, per direct een samenwerkingstraject meteen vertegenwoordiging van auditors en ICT-leveranciers van gemeenten overde aanpak van de ICT-beveiligingassessments bij gemeenten. Dit traject heeftals doel om een efficiënte uitvoering en eenduidige toepassing van de ICTbeveiligingsrichtlijnen bij gemeenten te bewerkstellingen. Dit doel wordt versterkt door het feit dat bepaalde auditors en ICT-leveranciers in opdrachtvan meerdere gemeenten werken. In dit traject kunnen desgewenst ook het Interprovinciaal Overleg en de Unie van Waterschappen worden betrokken.

KING voert de eerste helft van dit jaar bij een aantal gemeenten, waaronder kleine, middelgrote en grote gemeenten, een impactanalyse uit. De uitkomsten hiervan bieden input voor een gestandaardiseerde aanpak voor het uitvoeren van de ICT-beveiligingassessment bij gemeenten. Dit mede met het oog op het beperken van de uitvoeringslasten.

Daarnaast onderzoeken VNG en KING hoe zij gemeenten structureel op het terrein van ICT-beveiliging kunnen ondersteunen. Afhankelijk van de uitkomsten van deze onderzoeken bepalen VNG en KING hoe zij gemeenten
ondersteunen bij de assessments (te denken valt aan het inrichten van een helpdesk).

Tevens zal ik het onderwerp ICT-beveliging agenderen in mijn eerstvolgende overleg met de mede-overheden, en bezien of nadere bestuursafspraken nodig zijn.

Uitvoeren ‘hack’-testen
In het kader van de jaarlijkse ICT-beveiligingsassessments heeft Logius de mogelijkheid om enkele betrouwbare marktpartijen opdracht te geven tot het kraken van de ICT-beveiliging van gebruikende organisaties. Deze mogelijkheid staat los van de ‘hack’-testen of zogenaamde penetratietesten die Logius zelf jaarlijks laat uitvoeren op DigiD. Communicatie richting organisaties In de afgelopen periode is het effectief gebleken de communicatie te stroomlijnen. Daarom zijn er afspraken gemaakt over wie de aanspreekpunten zullen zijn. Voor vragen over het proces, kunnen organisaties bij Logius terecht. VNG is aanspreekpunt voor gemeenten. NCSC levert informatie over de beveiligingsrichtlijn. EDP-auditors kunnen met vragen bij NOREA terecht.

Tot slot
Hoewel 100% veiligheid nooit te garanderen is, wordt met deze samenwerking een belangrijke en haalbare impuls gegeven aan de kwaliteitsverbetering van ICT- beveiliging bij de overheid. In het derde kwartaal van 2012 zal ik u informeren over de stand van zaken met betrekking tot de genomen kwaliteitsmaatregelen.

De minister van Binnenlandse Zaken en Koninkrijksrelaties,
J.W.E. Spies

CBP geeft eerste reactie op nieuwe Europese privacyregelgeving Algemene privacyverordening en privacyrichtlijn voor politie en justitie bieden kansen voor betere bescherming persoonsgegevens

Uit't persbericht. Het College bescherming persoonsgegevens (CBP) is in zijn eerste reactie positief over de kansen voor betere bescherming van persoonsgegevens die het voorstel voor een nieuw Europees juridisch raamwerk voor dataprotectie biedt. “Het CBP heeft bepleit dat de positie van burgers wordt versterkt, dat bedrijven en organisaties die persoonsgegevens verwerken hun verantwoordelijkheid nemen en dat de privacytoezichthouders als dat nodig is boetes kunnen opleggen. Het feit dat deze elementen nu zijn opgenomen in het voorstel van de Europese Commissie voor een nieuwe privacyverordening is een belangrijke stap voorwaarts”, aldus Jacob Kohnstamm, voorzitter van het CBP. Kohnstamm stelt dan ook dat de verordening een goede basis vormt voor de komende besprekingen in de Raad van Ministers en het Europees Parlement.

De Europese Commissie presenteerde op woensdag 25 januari 2012 naast de nieuwe Europese verordening voor de verwerking van persoonsgegevens ook de concept-privacyrichtlijn voor gegevensverwerking door politie en justitie. Deze richtlijn betreft de uitwisseling van onder meer politie- en justitiegegevens. Het CBP is teleurgesteld over het lage ambitieniveau van de door de Europese Commissie voorgestelde richtlijn. Jacob Kohnstamm roept de Raad van Ministers en de leden van het Europees Parlement op de komende besprekingen over de twee voorstellen aan te grijpen om de teksten zodanig te wijzigen dat de bescherming van persoonsgegevens als fundamenteel recht in de EU daadwerkelijk wordt verstevigd.

Lees hier verder

Rapport Staatscommissie Grondwet, bijlage bij kamerstuk 31 570 nr. A.

Als randvermelding. Grondrechtendiscussie. Beperkte informatie- en communicatiemiddelen in artikel 7 Gw. Staatscommissieleden stellen ter discussie een aanvullend nieuw grondrecht op toegang tot documenten in het digitale tijdperk ter bevordering van openbaarheid bestuur ex 110 Gw/ en (elektronische) communicatie-infrastructuur.

Uit de samenvatting, p.9. In hoofdstuk 8 gaat de Staatscommissie in op de wenselijkheid grondrechten aan te passen in het licht van de digitalisering van de samenleving. Deze digitalisering roept vragen op over de grondwettelijke bescherming van onder meer de vrije ontvangst van informatie en het gebruik van elektronische middelen zoals internet, nieuwe mediavormen en -diensten, de vertrouwelijkheid van communicatie en de bescherming van persoonsgegevens. In dit verband heeft de Staatscommissie vooral de artikelen 7, 10 en 13 van de Grondwet in ogenschouw genomen.

Artikel 7 Grondwet, dat de vrijheid van meningsuiting beschermt, dient om verschillende redenen te worden aangepast.16 Het verbod van voorafgaand verlof in het eerste lid is beperkt tot de drukpers. De Staatscommissie stelt voor dit verbod te handhaven, maar de beperking tot de drukpers te laten vervallen. Het verbod van voorafgaand verlof strekt zich dan uit tot alle vormen van meningsuiting. Verder stelt de Staatscommissie voor het begrip gevoelens te vervangen door meningen. Daarnaast doet de Staatscommissie de aanbeveling de vrije ontvangst van informatie in de Grondwet te garanderen. Omdat in een democratische samenleving de pluriformiteit van de pers van groot belang is, adviseert de Staatscommissie een bepaling op te nemen, luidende dat de overheid de pluriformiteit van de media eerbiedigt.

p.67. 8.2 Ontwikkelingen in digitalisering en recht:
Er is ook een toenemend besef van ongewenste vormen van internetgebruik. Daarbij gaat het in het bijzonder om schendingen van auteursrecht, hate speech (bijvoorbeeld in de vorm van discriminerende uitlatingen op internetfora), kinderporno en andere vormen van cybercrime.

Het is gegeven deze ontwikkelingen de vraag of de Grondwet, in het bijzonder de grondrechtenbescherming, nog wel ‘bij de tijd’ is. Die vraag is bijvoorbeeld relevant op het terrein van communicatie. De Grondwet noemt nu alleen traditionele informatie- en communicatiemiddelen, zoals de ‘drukpers’, ‘radio en televisie’, ‘brief’, ‘telefoon’ en ‘telegraaf’. De vraag rijst in hoeverre de bescherming van grondrechten in de Grondwet ook op nieuwe informatie- en communicatietechnieken van toepassing is.

p. 69. Een aantal leden123 betreurt deze beperking in het bijzonder waar het gaat om de opneming in de Grondwet van een nieuw grondrecht op toegang tot documenten.
Een kenmerk van het digitale tijdperk is dat de betekenis van informatie(grond)rechten toeneemt. Vandaar het bijzondere belang dat volgens deze leden deze in onderling verband op evenwichtige wijze geborgd zijn. Dat geldt volgens hen in het bijzonder voor grondrechtelijke aanspraken op privacy en openbaarheid. Om deze reden hebben deze leden een aanvullend voorstel gedaan tot opneming van een nieuw grondrecht op toegang tot documenten (openbaarheid van bestuur). (...) Een van deze leden124 betreurt de beperking van de opdracht temeer omdat zij van oordeel is dat er, gezien de ontwikkeling van de informatietechnologie en daarop gebaseerde producten en diensten, belangrijke redenen zijn om de artikelen 5, 11 en 12 Grondwet opnieuw op inhoud en formulering te bezien.
Tevens dringt de vraag zich op of het wenselijk is om in de Grondwet een grondrecht op toegang tot de (elektronische) communicatie-infrastructuur - in het bijzonder internet - op te nemen. In dit verband behoeven volgens dit lid ook de grondrechtelijke consequenties van nieuwe methodes van bestrijding van cybercrime via surveilleren en opsporing, toezicht en handhaving op internet aandacht, in het bijzonder de duiding en regulering van filtering/afsluiting en blokkering van informatie (internetcensuur).

p.91. het volgende grondrecht op te nemen na artikel 7 Grondwet:

Ieder heeft recht op toegang tot bestuurlijke documenten onder bij wet te stellen beperkingen.

Een belangrijk motief om dit grondrecht in de Grondwet op te nemen is het evenwicht in het stelsel van grondwettelijke informatierechten, in het bijzonder bij de belangenafweging van – botsende - openbaarheidsaanspraken en de grondrechten op eerbiediging van de persoonlijke levenssfeer en op de bescherming van persoonsgegevens.167 Naast de grondrechtelijke verankering van de Wob en andere openbaarheidsregelingen, vervult dit grondrecht tevens een complementaire functie in relatie tot de vrijheid van meningsuiting. In de visie van deze leden betekent de opneming van een dergelijk grondrecht niet dat artikel 110 Grondwet zou moeten vervallen. Als instructienorm blijft artikel 110 Grondwet
van waarde, in het bijzonder waar het gaat om het bevorderen van openbaarheid op initiatief van de overheid (actieve openbaarmaking) alsook de zorg voor de toegankelijkheid van bij de overheid aanwezige informatie.

Rechtbank Utrecht 7 december 2011, LJN BV0798 (Proximedia tegen handelsnaam PC 11 Ingenieursburo)
Hof Amsterdam, nevenzittingsplaats Arnhem 11 oktober 2011, LJN BU3275 (Proximedia tegen X)

Proximedia biedt informaticaprestaties aan. Zij richt zich hierbij met name op de kleine ondernemer. Vergelijkbaar met IT 665: reflexwerking colportagewet, echter bij arrest is geoordeeld dat er geen ruimte bestaat om reflexwerking toe te kennen, de partijen zullen in de gelegenheid worden gesteld zich bij akte uit te laten en hun stelling aan te passen.

Rechtbank Utrecht 16 november 2011, LJN BV0794 (eenmanszaak Porselein & Zo tegen Proximedia)

Proximedia biedt informaticaprestaties aan. Zij richt zich hierbij met name op de kleine ondernemer. Reflexwerking van Colportagewet niet na 2,5 jaar. Een beroep op dwaling slaagt evenmin, nu meer dan ruim 2 jaar later nadat zijn eiser zijn onderneming heeft gestaakt een beroep op dwaling wordt gedaan, komt voor rekening van de dwalende. Uitgebreid worden het kernbeding vs grijze lijst en onredelijke bezwarend beding besproken aan de hand van de gegeven casuïstiek (r.o. 4.11-4.15). Alle vorderingen worden afgewezen, in reconventie volgt een toewijzing van schadevergoeding vermeerderd met een contractuele rente van 8%.

4.3.  Vast staat dat [eiser] zich eerst bij brief van 28 oktober 2010 augustus 2010, derhalve ruim twee en half jaar na sluiting van de overeenkomst, beroept op de nietigheid van de overeenkomst op grond van de Colportagewet. Voorts staat vast dat partijen in de jaren 2008 en 2009 uitvoering hebben gegeven aan de overeenkomst zonder dat [eiser] enig signaal heeft gegeven dat er bij het sluiten van de overeenkomst iets niet goed zou zijn gegaan en dat hij zich overvallen heeft gevoeld door de vertegenwoordiger van Proximedia. Zelfs indien er veronderstellenderwijs vanuit wordt gegaan dat [eiser] dient te worden aangemerkt als een kleine - met een consument gelijk te stellen - ondernemer, kan in dit geval een beroep op de Colportagewet hem gelet op het vorenstaande reeds wegens tijdsverloop niet baten, zodat dit wordt afgewezen.

4.9.  [eiser] heeft ter comparitie van partijen verklaard dat hij de overeenkomst bij ondertekening vluchtig heeft doorgelezen en dat hij heeft gezien dat de duur van de overeenkomst vier jaar bedroeg. [eiser] verklaarde voorts dat hij de overeenkomst pas de avond na ondertekening goed heeft doorgelezen. In deze overeenkomst staat ook vermeld dat de laptop eigendom van Proximedia blijft alsmede dat een maandelijkse vergoeding verschuldigd was voor, onder meer, een website.
Voorts staat vast dat sindsdien door partijen uitvoering is gegeven aan de overeenkomst, en dat [eiser] eerst op 28 oktober 2010, derhalve meer dan ruim 2 jaar later en nadat hij zijn onderneming heeft gestaakt, een beroep op dwaling heeft gedaan. Gelet op deze omstandigheden dient de dwaling – indien er voor zover daarvan sprake is geweest – voor rekening van de dwalende te blijven.

4.13. (...) Indien dit beding niet zou zijn overeengekomen zou het voor de wederpartij niet mogelijk zijn de overeenkomst tussentijds te beëindigen. In dat geval zou Proximedia in elk geval aanspraak kunnen maken op de volledige overeengekomen maandtermijnen gedurende de duur van de overeenkomst, die immers is gesloten voor de bepaalde tijd van 48 maanden. Zonder dit beding zijn de wederzijdse verbintenissen derhalve voldoende bepaald. Ook kan niet kan worden gesteld dat zonder dit beding tussen partijen geen overeenstemming bestaat over het wezen van de overeenkomst. Naar objectieve maatstaven kan daarom niet worden geoordeeld dat dit beding de kern van de prestaties aangeeft. Ook het feit dat dit beding is opgenomen in de zogenaamde grijze lijst (artikel 6:237 aanhef en onder i) vormt een aanwijzing dat geen sprake is van een kernbeding, maar van een algemene voorwaarde in de zin van artikel 6:231 aanhef en onder a BW.

Vzr. Rechtbank Rotterdam 19 januari 2012, LJN BV2482 (Joemi c.s. tegen Melenborg c.s.)

Arbeidsrechtelijke zaak, waarbij toegang tot computersysteem wordt gevorderd.
 
Tweede kort gedingprocedure tussen (o.a.) partijen. Dispuut in het kader van de beëindiging van de samenwerking tussen partijen en de ontvlechting van de wederzijdse belangen. Is sprake van een (mondelinge) overeenkomst op hoofdpunten? Voorshands geen sprake van een rechtens afdwingbare overeenkomst. Eisers zijn niet-ontvankelijk verklaard in hun vordering tot het verlenen van toegang tot het computersysteem.

Wat er van de rechtsgeldigheid van het besluit tot ontslag van [eiser 2] ook zij - dit is in dit kort geding geen onderwerp van geschil -, feit is dat [eiser 2] per 16 december 2011 is ontslagen als bestuurder van Stichting Polikliniek De Blaak. Door [eiser 2] is niet gesteld, noch is daarvan gebleken, dat tussen hem en de stichting een arbeidsovereenkomst heeft bestaan die thans nog gelding heeft. Uitgangspunt dient dus te zijn dat de rechtsverhouding tussen Stichting Polikliniek De Blaak en [eiser 2] (feitelijk) is geëindigd. Sinds 15 december 2011 is [eiser 2], vooruitlopend op het ontslag, de toegang ontzegd tot het computersysteem van Polikliniek De Blaak. Thans vragen Joemi en [eiser 2] om [gedaagde 2] te veroordelen [eiser 2] toegang te verlenen tot het computersysteem.

Ter zitting is voorshands aannemelijk geworden dat (o.a.) de administratie, de informatie- en communicatietechnologie en de eigendom van apparatuur betreffende de onderneming Polikliniek De Blaak zijn ondergebracht in Stichting Polikliniek De Blaak. Voor de hand ligt dan dat Joemi en [eiser 2] Stichting Polikliniek De Blaak hadden dienen te dagvaarden om [eiser 2] de gewenste toegang te verschaffen tot het computersysteem van Polikliniek De Blaak. De verantwoordelijkheid voor het systeem ligt immers (volgens de door Joemi en [eiser 2] niet bestreden en daarmee aannemelijk geworden stelling van Melenborg en [gedaagde 2]) bij de entiteit Stichting Polikliniek De Blaak en niet bij (één van) haar bestuurders.

Hof Amsterdam, nevenzittingsplaats Arnhem 31 januari 2012, LJN BV2565 (appellant tegen waarborgmaatschappij Medirisk)

Verwerking persoonsgegevens; inzage op grond van Wet bescherming persoonsgegevens. [appellant] heeft op verzoek van Medirisk de medisch directeur, alsmede het medisch en paramedisch personeel van het OLVG gemachtigd de bij hen berustende medische en paramedische gegevens met betrekking tot de aansprakelijkstelling over te leggen aan de medisch adviseur van Medirisk. [appellant] is er verder mee akkoord gegaan dat de medisch adviseur voor de behandeling van de schadekwestie inzage van de medische gegevens verstrekt aan en ten behoeve van bij Medirisk werkzame medewerkers en adviseurs. Medirisk dient uiteindelijk, aldus het Hof, inzage te geven in het medisch rapport van een chirurg en ten aanzien van alle stukken aan tegeven waarover het stuk handelt en om welke reden zij vn mening is dat er Wbp-uitzonderingen van toepassing zijn.

4.7 Ten aanzien van overige stukken die zich in het dossier dat Medirisk over [appellant] houdt bevinden, overweegt het hof als volgt. Medirisk heeft tot op heden geweigerd een overzicht te verstrekken van de informatie die zich in haar dossier bevindt.

Ook ten aanzien van het verzoek een overzicht te verstrekken faalt het betoog van Medirisk dat [appellant] misbruik van recht maakt. Het hof verwijst naar het hiervoor overwogene.

Zonder een nadere toelichting - die ontbreekt - valt voorts niet in te zien dat het verstrekken van een overzicht er reeds toe kan leiden dat het belang dat Medirisk heeft bij het vrijelijk kunnen voeren van overleg geschaad wordt. Om te kunnen beoordelen of het hier gegevens betreft die Medirisk op grond van artikel 2 sub a van de Wbp dan wel artikel 43 sub e van de Wbp niet aan [appellant] hoeft te verstrekken, dient Medirisk derhalve een overzicht over te leggen van de stukken, inclusief eventuele bijbehorende bijlagen, die zich in haar dossier ten aanzien van [appellant] bevinden, waarbij zij per dossierstuk beknopt dient aan te geven waarover dit stuk handelt en om welke reden zij meent dat de uitzondering als bedoeld in artikel 2 sub a van de Wbp en/of artikel 43 sub e van de Wbp op dat stuk van toepassing is.

Dictum
Het hof, beschikkende in hoger beroep:
bepaalt dat Medirisk uiterlijk twee weken nadat deze beschikking in kracht van gewijsde is gegaan aan het hof en de advocaat van de wederpartij het medisch rapport van dr. J.E.L. Cremers (chirurg) zal verstrekken;

bepaalt dat Medirisk uiterlijk twee weken nadat deze beschikking in kracht van gewijsde is gegaan aan het hof en de advocaat van de wederpartij een overzicht zal verstrekken van alle zich in het dossier ten aanzien van [appellant] bevindende stukken, inclusief eventueel daarbij behorende bijlagen, waarbij Medirisk per dossierstuk beknopt dient aan te geven waarover dit stuk handelt en om welke reden zij van mening is dat de uitzondering als bedoeld in artikel 2 sub a van de Wbp en/of artikel 43 sub e van de Wbp op dat stuk van toepassing is;

bepaalt dat van deze beschikking terstond beroep in cassatie kan worden ingesteld;

Hof Leeuwarden 31 januari 2012, LJN BV2348 (AIS Flight Academy B.V. tegen geïntimeerde)

Vraag of sprake is van een fatale termijn voor nakoming. Opschortingsrecht ten aanzien van overdracht domeinnamen. Kantonrechter heeft vordering van (beperkte) betaling van facturen toegewezen. Het hof oordeelt dat geïntimeerde zich terecht beroept op opschorting voor zover het gaat om overdracht van de domeinna(a)m(en).

AIS exploiteert een vliegschool. Zij heeft [geïntimeerde] in december 2008 mondeling de opdracht gegeven voor haar een website te bouwen en te zorgen voor registratie van de domeinnaam aisflightacademy.nl. Op 16 januari 2009 werd de site online gezet, waarna is geconstateerd dat een aantal dingen mis was met de inhoud en animaties. Op 21 januari is opgave gedaan wat er nog aangepast moet worden: animatie logo AIS, animatie actietekst en button, animatie vliegtuig, pop-up bij unieke punten AIS opleiding, eventueel cockpit foto in footer site. Bij de aanvang van de werkzaamheden heeft geïntimeerde de domeinnamen aangevraagd en geen gehoor gegeven deze over te dragen.

De kantonrechter heeft deze vordering toegewezen, onder verwerping van de verweren van AIS dat zij de overeenkomst buitengerechtelijk mocht ontbinden wegens overschrijding van de fatale termijn voor nakoming en mocht verrekenen omdat [geïntimeerde] jegens AIS schadeplichtig is. Volgens de kantonrechter was een ingebrekestelling vereist en mag [geïntimeerde] de overdracht van de domeinnamen opschorten zolang betaling uitblijft.

12.5 Het hof is van oordeel dat [geïntimeerde] zich terecht beroept op voortduring van zijn opschortingsrecht voor zover het gaat om de domeinnaam of -namen waarvan hij de hosting volgens de overeenkomst tussen partijen diende te verzorgen. Welke dat is of zijn, kan het hof pas beoordelen nadat AIS gelegenheid heeft gehad zich kort,bij akte, uit te laten over productie 12 bij memorie van antwoord.

Op andere blogs:
Ius Mentis (Met een domeinnaam in verzuim)
DomJur