Rechtbank Amsterdam 15 december 2011, LJN BV2295 (Phishing ING) / LJN BV2297

Twee beschikkingen. Wbp. Incidentenregister. Phishing. Bank heeft gerechtvaardigd belang om de persoonsgegevens te verwerken. Proportionaliteitstoets valt uit in het voordeel van de bank.

De benadeelde heeft aangifte gedaan van oplichting althans frauduleuze overboekingen bij de politie Utrecht en heeft de schade eveneens gemeld bij ING. ING heeft de betaalrekening van [B] geblokkeerd.

ING heeft [B] bericht dat in een onderzoek naar fraude naar voren is gekomen dat [B] hiermee te maken had en is deze kwestie voor ING Bank N.V. aanleiding om uw persoonsgegevens op te nemen in het incidentenregister. Verzoek strekt ertoe om gegevens van haar [A] en haar zoon [B] te verwijderen. Er is sprake van opzettelijke benadeling van ING en oneigenlijk gebruik van de producten en diensten van ING. Verwerking van persoonsgegevens in het incidentenregister conform het protocol dat voldoende waarborgen biedt en doorstaat de proportionaliteitstoets.

4.7.  De rechtbank stelt voorop dat het opnemen van de persoonsgegevens van [B] in het incidentenregister en het daaraan gekoppelde EVR is aan te merken als een verwerking van persoonsgegevens, waarop de Wbp van toepassing is. Deze verwerking vindt zijn grondslag in het gerechtvaardigde belang als bedoeld in artikel 8 sub f Wbp van ING en de overige bij het EVR aangesloten financiële instellingen. Dit artikel schrijft voor dat bij het verwerken van persoonsgegevens een afweging wordt gemaakt tussen het gerechtvaardigd belang van – in casu – ING om de gegevens te verwerken in het incidentenregister en het EVR en het belang van [B] op bescherming van zijn persoonlijke levenssfeer. ING voert aan dat zij bij haar besluit de voorwaarden van het protocol in acht heeft genomen. Blijkens de preambule van het protocol is het protocol een toelichting op de aanmelding van het incidentenregister bij het College Bescherming Persoonsgegevens. De doelstelling van het incidentenregister is het ondersteunen van activiteiten gericht op het waarborgen van de veiligheid en de integriteit van de financiële sector. De rechtbank is van oordeel dat het protocol kan worden beschouwd als een regeling die voldoende waarborgen biedt voor een rechtmatige verwerking van persoonsgegevens zoals de Wbp die voorschrijft, zodat het protocol als uitgangspunt zal gelden bij de beoordeling van het onderhavige geschil.

4.10.  Gelet op het voorgaande is de rechtbank van oordeel dat sprake is van opzettelijke benadeling van ING en oneigenlijk gebruik van de producten en diensten van ING door [B]. Dat ING geen aangifte heeft gedaan tegen [B] staat hier niet aan in de weg, nu het feit gelet op de verklaring van [B] jegens de politie reeds voldoende vast is komen te staan, er momenteel een strafrechtelijk onderzoek loopt naar het voorval en de benadeelde zelf aangifte heeft gedaan van de fraude bij de politie. De uiteengezette omstandigheden vormen een bedreiging van de continuïteit en de integriteit van financiële instellingen in het algemeen en voor de onderneming van ING in het bijzonder. ING had derhalve een gerechtvaardigd belang om de persoonsgegevens van [B] te verwerken in het incidentenregister en het daaraan gekoppelde EVR.

4.12.  De rechtbank is van oordeel dat bij de afweging van de belangen van partijen, het onder 4.10 weergegeven belang van ING thans dient te prevaleren boven de door verzoekster gestelde belangen van haar zoon [B]. Vast staat immers dat ING is benadeeld door handelingen die zijn verricht met gebruikmaking van de betaalrekening, betaalpas en pincode van [B] en dat [B] hieraan bewust en vrijwillig heeft meegewerkt. Blijkens het tijdens de mondelinge behandeling overgelegde rapport van de Raad voor de Kinderbescherming (zie hiervoor onder 2.9) is de thans nog minderjarige [B] kwetsbaar en beïnvloedbaar, hetgeen het risico op herhaling vergroot. Naar het oordeel van de rechtbank is derhalve onvoldoende gebleken dat [B] disproportioneel wordt geraakt in zijn belangen door opname van zijn persoonsgegevens in het incidentenregister en het EVR.

4.14.  Ten aanzien van de stelling van verzoekster dat op ING de plicht rust om het fundamentele beginsel van hoor en wederhoor toe te passen, hetgeen concreet inhoudt dat zij een individuele betrokkene confronteert met haar bezwaren en deze in staat stelt daarop te reageren voordat tot registratie wordt overgegaan, overweegt de rechtbank als volgt.

ING voert terecht aan dat er op grond van de hiervoor reeds geschetste omstandigheden in het onderhavige geval geen twijfel mogelijk was omtrent de betrokkenheid van [B] bij de fraude. De rechtbank is derhalve met ING van oordeel dat het niet noodzakelijk was om [B] (dan wel zijn moeder) vooraf te horen. Dit geldt te meer nu er, zoals aangevoerd door ING, op grond van het protocol voldoende mogelijkheden bestaan om achteraf bezwaar te maken tegen opname in het incidentenregister en het EVR. Derhalve is de rechtbank van oordeel dat ING aan de zorgvuldigheidseisen die gelden bij de totstandkoming van een registratie in het incidentenregister en/of het EVR heeft voldaan en dat zij dus niet onzorgvuldig heeft gehandeld jegens [B].

HR 31 januari 2012, LJN BQ6575 (Simkaart/belminuten wegnemen = diefstal) - persbericht

Achtergrond De verdachte heeft bij zijn voormalige werkgever zonder toestemming een simkaart weggenomen. Hij heeft deze kaart in zijn telefoon gedaan en heeft voor ruim 2500 euro aan belminuten gebruikt en voor 100 euro aan sms-berichten. Het gaat in deze zaak om de vraag of belminuten en sms-berichten in juridische zin goederen zijn die kunnen worden gestolen (artikel 310 Wetboek van Strafrecht).

Het zonder toestemming wegnemen van belminuten en sms-berichten van een ander is diefstal.

Belminuten en sms-berichten hebben in het normale spraakgebruik een economische betekenis. Het is de gebruikseenheid om het bellen en het versturen van berichten te kunnen kwantificeren en in rekening te kunnen brengen. Belminuten en sms-berichten zijn in juridische zin goederen die kunnen worden gestolen. De Hoge Raad kan zich vinden in dit oordeel van het hof.

De Hoge Raad vernietigt de uitspraak van het hof in deze zaak op een ander punt. Het hof heeft namelijk geoordeeld dat een verklaring van de verdachte niet mag worden gebruikt voor het bewijs omdat de verdachte niet is gewezen op zijn recht een advocaat te raadplegen.Toch heeft het hof die verklaring als bewijsmiddel gebruikt. De Hoge Raad ziet daarin een tegenstrijdigheid.

HR 31 januari 2012, LJN BQ9251 (Runescape.nl diefstal virtuele goedern, concl. AG Hofstee) - persbericht

In navolging van IT 416 Virtueel amulet en masker in het online spel Runescape kunnen worden aangemerkt als ‘goed’ in de zin van art. 310 Sr en zijn vatbaar voor diefstal. Verdachte en medeverdachte dwongen het slachtoffer met geweld en bedreiging met geweld zich aan te melden op zijn account in het online spel Runescape en de virtuele objecten achter te laten (te droppen) in de virtuele spelomgeving.

De verdachte kon vervolgens het virtuele amulet en masker overzetten naar zijn eigen Runescape-account, waardoor het slachtoffer de beschikkingsmacht over deze objecten is verloren. Die virtuele objecten, waarover het slachtoffer de feitelijke en exclusieve heerschappij had, hadden voor hem, verdachte en zijn mededader een reële waarde.

Tegen de achtergrond van de bedoeling van de wetgever om de beschikkingsmacht van de rechthebbende op een ‘goed’ te beschermen, en de eerdere rechtspraak dat daaronder ook niet-stoffelijk objecten kunnen vallen, heeft de Hoge Raad geoordeeld dat de virtuele aard van de objecten op zichzelf niet eraan in de weg staat deze aan te merken als goed in de zin van art. 310 Sr. De enkele omstandigheid dat een object ook eigenschappen heeft van ‘gegevens’ in de zin van art. 80quinquies Sr brengt niet mee dat dit object reeds daarom niet meer als goed in de zin van art. 310 Sr kan worden aangemerkt. In grensgevallen waarbij niet-stoffelijke zaken zowel kenmerken van een ‘goed’ als van ‘gegevens’ vertonen, is de juridische duiding afhankelijk van de omstandigheden van het geval en de waardering daarvan door de rechter. De klacht dat het wegnemen van het virtuele bezit van een ander juist een van de doelen van het spel Runescape is, stuit erop af dat de spelregels niet voorzien in de door verdachte en zijn mededader gevolgde wijze van wegnemen.

Op andere blogs
De Gier|Stam & Advocaten
SOLV
ICTRecht

Uit de mededeling: Het College bescherming persoonsgegevens (CBP) heeft in 2011 de Rotterdamse deelgemeente Charlois een last onder dwangsom opgelegd. De sanctie volgde nadat het CBP na onderzoek had geconcludeerd dat de deelgemeente in strijd met de wet handelde. Charlois verwerkte structureel gegevens betreffende ras/etniciteit ten behoeve van een specifieke aanpak van risicojongeren terwijl de deelgemeente niet kon aantonen dat deze aanpak geschikt is om de achterstand van de jongeren te verminderen of op te heffen. Charlois heeft tegen de beslissing van het CBP bezwaar gemaakt. Het CBP heeft in zijn beslissing op bezwaar geoordeeld dat het bezwaar ongegrond is. De deelgemeente is hiertegen in beroep gegaan bij de rechter.

A. Engelfriet, Kroniek internetrecht 2011, Ius mentis 22 januari 2012.

Een bijdrage van Arnoud Engelfriet, ICTRecht.

Inhoudsopgave:
1. Webwinkels en consumentenrecht
2. Contracten en algemene voorwaarden
3. Privacy en persoonsgegevens
4. Netneutraliteit en tussenpersonen
5. Vrijheid van meningsuiting

1. Webwinkels en consumentenrecht
Het probleem met webwinkelrecht, en meer algemeen het consumentenrecht, is dat mensen zelden of nooit procederen. De wet klinkt mooi, maar als een (web)winkel zich er niet aan houdt, dan blijft het vrijwel altijd bij wat gemopper bij Kassa of opgelichtforums. Een positieve oplossing (zoals de Hema bij haar bosvruchtenclafoutistaartprijsfout) komt er maar zelden. Maar dit jaar werden we verrast met toch wat leuke zaakjes.

Het opmerkelijkst was de internetfietsenwinkel die maar liefst drie maal procedeerde over hetzelfde: mag je als winkel volledige vooruitbetaling eisen alvorens het product te leveren? Of, andere insteek, heb je als internetkoper het recht de koop te annuleren voordat het product geleverd is? Het antwoord: ja, “vanwege de nutteloze exercitie die zou volgen indien de koper zou moeten wachten met de ontbinding van de overeenkomst totdat de zaak is ontvangen.”

In een andere zaak oordeelde de rechter dat informatie over het wettelijk retourrecht niet alleeen in de algemene voorwaarden verstopt moet zijn. Dit zal onder de nieuwe wet een expliciete regel worden. Daarnaast werden ook gas en elektra onder het retourrecht geschoven, iets wat onder de huidige wetgeving discutabel is. De nieuwe consumentenrechtenrichtlijn maakt ook dit echter expliciet het geval, dus ach.

Een mooie opsteker was het optreden van de Consumentenautoriteit tegen een vijftal elektronicaondernemingen. Deze gaven consumenten misleidende informatie over hun wettelijke rechten en garantie, en kregen daarvoor een flinke boete. Ik ben benieuwd of het effect zal sorteren bij de concurrentie.

2. Contracten en algemene voorwaarden
Weinig dingen gaven meer vragen dan “wanneer mag ik van mijn stilzwijgend verlengd contract af”. Want dit jaar werd de Wet Van Dam van kracht, maar hoe deze zou gelden voor bestaande contracten was meteen onduidelijk. Enkele juristen hadden de Overgangswet Nieuw BW uit 1969 (ja, 1969) afgestoft en op de Abonnementenwet van toepassing verklaard, en na wat geduw met een reparatiewetje ging men overstag bij de overheid: pas bij de eerste verlenging ná 1 december 2011 kun je opzeggen onder deze wet.

Oh, en ik roep het al zo ongeveer sinds het begin van deze blog, maar u moet uw algemene voorwaarden echt ter hand stellen als PDF of stuk papier. Ook als het de bekende FENIT voorwaarden zijn.

Linkedin faalde hard met haar zinnetje “Voortgezet gebruik van deze site impliceert akkoord met de voorwaarden”, zeker toen ze profielfoto’s van gebruikers in advertenties opnam met een beroep op die stilzwijgend aangepaste voorwaarden.

Ook andere diensten (zoals Dropbox en Twitpic) bleken opmerkelijke voorwaarden te hebben, met name over de auteursrechten en de al dan niet exclusieve licentie daarop die geëist bleek te worden. Lees ook het crowdonderzoek Accept or Decline, waar ik aan meewerkte, om te zien wat sociale sites zoal bepalen in de kleine lettertjes.

De rechtbank legde 14.000 euro boete op aan DollarRevenue, dat reclamewormen verspreidde met “silent installs” en zogenaamde toestemming in algemene voorwaarden - wat dus niet rechtsgeldig is. Een nog harder spammende spammer kreeg 550.000 boete voor zijn spamsmsjes. De nieuwe SMS Gedragscode naleven had dit wellicht kunnen voorkomen.

Privacy en persoonsgegevens
Het privacydebat in 2011 richtte zich vooral op de voorgestelde cookiewet. Steeds meer sites gebruiken cookies als onderdeel van profiling, oftewel het bijhouden van gedetailleerde interesseprofielen van bezoekers om zo gerichte inhoud (en advertenties) aan te bieden. Dat levert meer op dan generieke advertenties, maar is het wenselijk dat een website precies weet wat je wel en niet leuk vindt?

Nieuwe Europese telecommunicatiewetgeving werd aangepast om nog net wat strenger (duidelijker?) te zijn omtrent toestemming onder de privacy. Dat leverde een debat op van zeldzaam hoog haarsplitten: moet de toestemming voor die cookies “ondubbelzinnig”, “expliciet”, “duidelijk”, “vrij en specifiek” of gewoon “toestemming” zijn?

Ondertussen had de marketingbranche het volg-me-nietregister bedacht: een icoon bij elk advertentieblokje, waar je op kunt klikken om dan bij de website Your Online Choices te zien welke cookies er al bezig zijn hem te tracken en welke firma’s dat allemaal (willen) doen. Tevens kan daar dan een einde aan worden gemaakt. Maar of een achteraf gegeven opt-in voldoet aan het vereiste van “toestemming”, is de grote vraag.

Opt-in is trouwens sowieso een moeilijk begrijp. De OPTA deed de e-mailbranche opschrikken met een megaboete van zes ton voor een e-mail direct marketing bedrijf. Alle gehanteerde opt-in technieken werden afgewezen als zijnde niet duidelijk genoeg. Paniek: iedereen hanteert deze technieken en dacht dat ze legaal zat. De Hoge Raad merkte daar eerder nog over op dat toestemming niet genoeg is: je moet altijd nog een belangenafweging doen om te bepalen of wat je doet wel écht gepast is.

De huidige privacywetgeving gaf ook genoeg aanleiding voor discussie en enkele rechtszaken en overheidsoptredens. Zo werd Facebook verplicht advertentiedata van haar gebruikers na 90 dagen te wissen. Omdat ze vanuit een Ierse BV opereerde, viel ze onder het Europese privacyrecht. In Duitsland vond nieuwssite Heise dat het Vindikleukknopje van Facebook een privacyschending opleverde (omdat het ook niet-gebruikers trackt) en ontwikkelde een privacyvriendelijker alternatief. Dit zou echter merkinbreuk opleveren, aldus Facebook. Bits of Freedom lanceerde nog de Persoonlijke Inzagemachine (PIM).

De Vereniging Eigen Huis creëerde haar eigen privacydebatje toen ze een site aankondigde waar filmpjes van inbrekers online gezet konden worden. Dat zou een privacyschending van de heren wetsovertreders zijn, maar zoals wel vaker liep het met een sisser af.

Ook diverse overheden maakten graag inbreuk op de privacy van allerlei personen. Twitter moest persoonsgegevens afgeven van drie personen betrokken bij Wikileaks, waaronder de Nederlandse hacker Rop Gonggrijp. Dit in verband met dat het onderzoek naar het openbaren van de legervideo ‘Collateral Murder’ via de controversiële site Wikileaks. Een kleine opsteker was het afschieten van het elektronisch patiëntdossier (EPD), hoewel een beetje ICT project zich natuurlijk niet laat tegenhouden door zoiets geks als privacy (of slecht design, of onhaalbaarheid).

Opmerkelijk vond ik de beslissing van het Cbp om Google toe te staan SSID’s (persoonsgegevens toch) te verzamelen mits ze maar met een opt-out werkte. De Tweede Kamer wilde vervolgens de privacywet aanpassen, maar dat mag niet van Europa. En onder de in november aangekondigde nieuwe privacywet hebben we helemáál niets meer te willen.

4. Netneutraliteit en tussenpersonen
Het wetsvoorstel over cookies ligt trouwens nog steeds bij de Eerste Kamer, en de discussie houdt ook andere delen van de Telecomwet op - met name het stuk over netneutraliteit. Dat was erin gekomen nadat een berg herrie was ontstaan over KPN, dat in een sessie met investeerders had gemeld deep packet inspection te hebben gebruikt op zijn mobiele netwerk. Hoewel de KPN DPI niet zo diep ging als iedereen dacht (het was vooral headers lezen en slim routeren, niet meelezen), was netneutraliteit ineens zó hot dat er een wetsvoorstel op gemaakt werd.

Iets minder neutraal werd het vanuit auteursrechtenland. Het Hof van Justitie bepaalde dat eBay aan te spreken is wanneer haar gebruikers illegale import of namaakproducten verkopen via de wereldwijde elektronische marktplaats, mits eBay ‘actief’ betrokken is bij plaatsen of optimaliseren van de advertentie. De rechtbank kan een site als eBay vervolgens verplichten proactief te filteren op dergelijke advertenties.

Daarentegen hoefde internetprovider Scarlet géén generiek filter op al het peer-to-peer verkeer van haar klanten toe te passen. Dat zou een “generieke monitorplicht” opleveren, en die is in strijd met Europese regelgeving.

In hoger beroep moest Miljoenhuizen tóch haar site aanpassen, omdat Google een gekke samenvatting produceerde die de indruk wekte dat het bedrijf Zwartepoorte failliet zou zijn. Dit heeft veel stof doen opwaaien, maar volgens mij is dit wel degelijk correct. Miljoenhuizen wist van de problemen en kon die met een triviale maatregel oplossen, maar deed dat niet. Dát wordt hem aangerekend. Niet dat de problemen zijn ontstaan of dat hij Google verkeerde informatie voerde of iets dergelijks.

In december moest betalingsprovider Techno Design de NAW-gegevens plus IP- en bankrekeningnummers van een klant met een torrentsite afgeven aan Brein. En ook dat is wettelijk juist: de Hoge Raad heeft bepaald dat iedereen zulke gegevens moet afgeven aan een derde (ook zonder gerechtelijk bevel) als het voldoende aannemelijk is dat de betrokken persoon de wet schendt jegens de klager. Die consequentie geeft elke keer herrie maar niemand die iets dóet.

4. Meningsuiting
Bloggers opgepast: de Raad voor de Journalistiek achtte zichzelf in januari bevoegd over internet te oordelen. Ik heb nog geen uitspraken gezien over bloggers zonder redactiestatuut echter.

Als meningsuiter blijk je geen recht te hebben op toegang tot andermans forum, blog of krant. Je mag je mening wel uiten maar je zult zelf moeten zorgen voor de middelen. Zo mocht Elsevier haar onwelgevallige reacties verwijderen ook al waren deze on-topic. De sluiting van het Volkskrantblog gaf nog interessante discussie wat dát betekent voor de uitingsvrijheid.

Mijn persoonlijke ergernis dat de kaartenbakwet, pardon Wet bescherming persoonsgegevens kan worden ingezet tegen journalistieke publicaties kreeg een opsteker in het Kleintje Muurkrant-arrest. De afweging onder die wet blijkt namelijk precies dezelfde als de ‘gewone’ afweging of een publicatie rechtmatig is. Dus wie netjes schrijft, heeft van de Wbp niets te vrezen. Anders kan het uitvallen bij het publiceren van dossiers wanneer de wederpartij zijn auteursrecht inroept.

Vrolijk werd ik toch weer een beetje van de uitspraak dat TROS Radar en de Wereldomroep niet aansprakelijk bleken voor door anderen aangedragen inhoud.

Fotograferen op het station mag gewoon, zo bleek uit antwoord op Kamervragen. Maar dat zal menig agent, BOA of particuliere beveiliger er niet van weerhouden fotografen te arresteren of geheugenkaartjes in beslag te nemen, hoewel ook dat dus niet mag.

Oh, en nu we het toch over journalistiek hebben: nieuwssite Crimesite werd gesommeerd, pardon vriendelijk verzocht, om de IP-adressen van reageerders bij een artikel af te geven. De site weigerde met een beroep op journalistieke bronbescherming, en kreeg gelijk van de minister.

Dat vriendelijk verzoeken door osporingsinstanties is mij een doorn in het oog. Uitgangspunt van de wet is namelijk dat de politie alleen mag vorderen op grond van een expliciete wetsbepaling die regelt wat er mag worden gevorderd, wie daarover beslist en hoe ver de vordering kan gaan. Terecht klaagde RIPE dan ook het OM, KLPD en THTC aan. De IP-adresruimtebeheerder moest vier IP-ranges blokkeren maar niemand wist op grond van welke wet.

Onder licentie CC-BY-SA 2.5.

Artikel van Ruud Leether, eerder verschenen in Automatisering Gids.

Aan mislukte IT-projecten hebben, naast de IT-leveranciers, ook vaak de opdrachtgevers schuld, betoogt Leether. Opdrachtgevers geven de mogelijkheden tot verbetering onvoldoende aandacht. Leether focust op de overheid als opdrachtgever, maar zijn observaties zijn zeker ook relevant voor opdrachtgevers in de private sector.  Leether ziet onder meer de volgende aandachtspunten:

• “Knock out” criteria: meestal een verkeerde prikkel
• Professioneel opdrachtgeverschap: meer dan de goede vrede bewaren
• Budgetoverschrijdingen: zichtbaar maken en benoemen.
• Stuurgroepen en raden van advies: doen wat ze moeten doen
• Detachering en samenwerking: geen verstandige keuzes bij ICT` projecten

Lees het artikel hier.

Een bijdrage van Wouter Dammers, SOLV.

Iedere zichzelf respecterende jurist (en rechtzoekende) maakt regelmatig gebruik van de website www.rechtspraak.nl. Dit is de officiële site van de rechtbanken, gerechtshoven, CRvB, CBb, Hoge Raad en Raad voor de rechtspraak. Veel jurisprudentie wordt bijvoorbeeld op deze website gepubliceerd.

Bij mijn bezoek van vandaag viel mij echter iets op aan de site: een klein, groen mannetje, voorzien van grafisch gestyleerde hoed en schoeisel, hupsend met de armen wijd. Daaronder: twee sterretjes. Een vreemd icoon, maar mijn nieuwsgierigheid was gewekt. Met een klik werd ik doorgeleid naar de website https://accessibility.nl/toetsing/info/842, waar de volgende tekst wordt getoond:

Certificaat van toegankelijkheid

De inspectie-instelling Accessibility, afdeling Inspectie te Utrecht, heeft na inspectie van de betreffende internetpagina's van de certificaathouder, Raad voor de rechtspraak, vastgesteld dat de gekeurde pagina's van de website www.rechtspraak.nl op het moment van inspectie voldoen aan alle prioriteit 1 en prioriteit 2 keuringseisen zoals vastgesteld in het Normatief document (Webrichtlijnen) versie 1 van 20-07-2007 inclusief appendix van 06-09-2010 van de Stichting Waarmerk drempelvrij.nl. De site voldoet hiermee tevens aan de prioriteit 1 en 2 ijkpunten van WCAG 1.0 van W3C”

Het inspectiecertificaat blijkt betrekking te hebben op alle pagina’s op www.rechtspraak.nl.

Maar wat is de juridische status van zo’n certificaat? Wat betekent het? En wat is het nut er van?

Juridische status van de Webrichtlijnen
Het certificaat is een voortvloeisel van de zogenaamde Webrichtlijnen. De Webrichtlijnen zijn verplicht gesteld voor websites die onder de ministeriële verantwoordelijkheid vallen. Dat is geregeld in het Besluit Kwaliteit Rijksoverheidswebsites. Intranetten vallen daar overigens niet onder – daar kan overigens wel weer andere wet- en regelgeving voor gelden, zoals de Algemene Wet Gelijke Behandeling. Ook gemeenten, waterschappen en provincies zijn verplicht om aan de webrichtlijnen te voldoen. Dit is vastgelegd in het bestuursakkoord Nationaal Uitvoeringsprogramma Betere Dienstverlening en e-overheid. De overheid heeft ervoor gekozen om eerst te proberen het beoogde resultaat op basis van goede gemeenschappelijke afspraken te verkrijgen. Als resultaten uitblijven, kan er alsnog een wet komen. In de Tweede Kamer is hier in 2009 al op gezinspeeld. Ook in de EU wordt overwogen een formele toegankelijkheidsvereisten voor websites op te leggen aan de lidstaten.

Wat houden de Webrichtlijnen in?
De Webrichtlijnen zijn van toepassing op alle webactiviteiten waarbij sprake is van een 'world wide web user interface' en betreffen een “paraplustandaard” die de belangrijkste specificaties voor webinterfaces omvatten, en de samenhang tussen die specificaties beschrijven. De richtlijnen zijn gebaseerd op de internationale richtlijnen ontwikkeld door het World Wide Web Consortium (W3C) voor de publicatie van informatie op internet.

Wat is het nut van de Webrichtlijnen?
Toch meer dan je in eerste instantie zou vermoeden: Wanneer een website is gebouwd volgens de Webrichtlijnen, voldoet deze aan de eisen voor de toegankelijkheid voor mensen met een functiebeperking; is deze toegankelijk voor alle gangbare zoektechnologieën en zijn ze – vanwege de gestructureerde opbouw – beter, goedkoper en efficiënter te beheren. De webrichtlijnen zijn tevens een instrument voor goed opdrachtgeverschap, aldus het Besluit Kwaliteit Rijksoverheidswebsites.

HR 28 oktober 2011, LJN BQ9854 (Gemeente De Ronde Venen tegen Stedin)

Onder het mom van beter laat dan nooit. Naar aanleiding van Rechtbank Rotterdam 22 juni 2011 (BP / Maumo) schreef ik in IT 436 dat het naar Nederlands recht de vraag is of duurovereenkomsten voor onbepaalde duur altijd rechtsgeldig opzegbaar zijn. Inmiddels heeft de Hoge Raad bepaald dat opzegbaarheid uitgangspunt is. Zie ook IT 233. Met dank aan Polo van der Putt, Vondst Advocaten.

In de Rotterdamse zaak overwoog de rechter:

"4.6.1. De overeenkomst is voor onbepaalde tijd aangegaan. Dit betekent dat de vraag of opzegging mogelijk was en zo ja, onder welke voorwaarden, moet worden beantwoord aan de hand van de redelijkheid en billijkheid in verband met alle omstandigheden van het geval. Die omstandigheden kunnen meebrengen dat opzegging alleen mogelijk was op basis van een voldoende zwaarwegende grond, of mits een redelijke opzegtermijn in acht werd genomen."

Dus: bij gebreke aan een contractuele regeling moet aan de hand van de redelijkheid en billijkheid worden vastgesteld of een overeenkomst die is aangegaan voor onbepaalde duur opzegbaar is.

Inmiddels heeft de Hoge Raad (in bovengenoemde andere zaak) als volgt bepaald:

"3.5.1 Het gaat te dezen om de opzegging van een duurovereenkomst die voor onbepaalde tijd is aangegaan. Of en, zo ja, onder welke voorwaarden zo'n overeenkomst opzegbaar is, wordt bepaald door de inhoud daarvan en door de van toepassing zijnde wettelijke bepalingen. Indien, zoals hier, wet en overeenkomst niet voorzien in een regeling van de opzegging, geldt dat de overeenkomst in beginsel opzegbaar is. De eisen van redelijkheid en billijkheid kunnen in verband met de aard en inhoud van de overeenkomst en de omstandigheden van het geval meebrengen dat opzegging slechts mogelijk is indien een voldoende zwaarwegende grond voor de opzegging bestaat (HR 3 december 1999, LJN AA3821, NJ 2000/120). Uit diezelfde eisen kan, eveneens in verband met de aard en inhoud van de overeenkomst en de omstandigheden van het geval, voortvloeien dat een bepaalde opzegtermijn in acht moet worden genomen of dat de opzegging gepaard moet gaan met het aanbod tot betaling van een (schade)vergoeding."

Dus: bij gebreke van een contractuele regeling is een overeenkomst voor onbepaalde duur in beginsel opzegbaar, tenzij anders voortvloeit uit de redelijkheid en billijkheid. Zoals ik al eerder opmerkte leek in literatuur en lagere rechtspraak opzegbaarheid als uitgangspunt te worden genomen. Dit oordeel van de HR sluit daarbij aan.

J.J. Oerlemans, US v. Jones (GPS-tracking zaak), ITenRecht.nl, IT 651.

Met dank aan Jan-Jaap oerlemans, Universiteit Leiden.

Gisteren (23 januari 2012) is in de Verenigde Staten een interessant en belangrijk arrest gewezen door het Hooggerechtshof in de zaak ‘US v. Jones’. In deze zaak werd een apparaatje op een auto geplakt om daarmee de verdachte te volgen met door middel van GPS-technologie. Unaniem oordeelde de ‘Supreme Court’ dat dit handelen een ‘search’ (doorzoeking) constitueerde en inbreuk maakte op het Amerikaanse recht op privacy, zoals neergelegd in het vierde amendement van de Amerikaanse grondwet. In dit bericht geef ik een korte observatie over de zaak.

(Majority) opinion of the Court
De rechters waren het (uiteraard, het blijven juristen) niet eens met de reden waarom de opsporingsmethode een ‘search’ was. De meerderheid was in elk geval van mening dat het plaatsen van het apparaat op de auto een inbreuk maakte op de Fourth Amendment wegens een ontoelaatbare inbreuk op het eigendomsrecht (“When the Government physically invades personal property to gather information, a search occurs”, aldus de samenvatting van het arrest van rechter Sotoyama). Professor Kerr laat op zijn vaste blog weten dat de rechters niet de vraag hebben beantwoord of voor het plaatsen van het GPS apparaat altijd een rechterlijke machtiging (‘warrant’) nodig is. In een minderheidsmening geven de rechters in elk geval aan dat wat hun betreft voor een korte tijd in de gaten houden van verdachten via de GPS geen warrant noodzakelijk is.

De conservatieve rechters benadrukken dat slechts het observeren van de bewegingen van een auto binnen het publieke domein wel is toegestaan, op basis van de ‘reasonable expectation of privacy’-doctrine zoals geformuleerd in de Katz-zaak. Grof geformuleerd kunnen burgers binnen het publieke domein op basis van dit arrest geen beroep doen op het Amerikaanse privacyrecht en dat betekent dat het overheidshandelen niet aan bepaalde vereisten uit de ‘Fourth Amendment’ hoeven te voldoen, zoals een rechterlijke machtiging voor de opsporingsmethode en (een iets andere interpretatie van) een ‘redelijk vermoeden van een strafbaar feit’. Overigens kan in andere wetgeving wel voorwaarden worden opgelegd voor opsporingsmethoden in het publieke domein.

Elektronische observatie?
Ik relateer de zaak natuurlijk ook aan mijn eigen (rechtsvergelijkende) onderzoek. Met  betrekking tot stelselmatige observatie op internet kan binnen het Amerikaanse recht geen beroep worden gedaan op de ‘Fourth Amendment’. Met ‘stelselmatige observatie op internet’ bedoel ik dan het bijhouden en vastleggen van alle uitspraken en ‘bewegingen’ van een bepaald persoon voor langere tijd op internet. De vraag is of dit anders zijn voor het in de gaten houden van individuen op fora, websites of social media waarvoor eerst een account moet worden aangemaakt. Op basis van het arrest zou ik zeggen van niet, omdat geen ‘physical interference’ plaatsvindt. Mijn twijfels worden echter aangewakkerd door de volgende overweging op pagina 11: “It may be that achieving the same result through electronic means, without an accompanying trespass, is an unconstitutional invasion of privacy, but the present case does not require us to answer that question”. Een aantal rechters geven als voorbeeld dat nu twijfel bestaat aan welke vorowaarden het aanzetten van de GPS-functionaliteit van een smartphone of navigatie-apparatuur in de auto moet voldoen.

Concurring opinions
In de ‘concurring opinion’ komt rechter Alito met een andere redenering tot eenzelfde conclsuie. Hij heeft fikse kritiek op de redenering van rechter Scalia en anderen en merkt op dat een ’21st-century surveillance technique’ getoetst wordt met ‘18th-century tort law’. De rechters vinden het arrest ‘unwise’ en ‘kunstmatig’. Volgens hen levert het gebruik van de GPS-technologie voor langere tijd een inbreuk op de Fourth Amendment op, ongeacht of daar toevallig een apparaatje voor wordt gebruikt.

Rechter Sotoyama betwijfelt nog in haar stuk dat de ‘reasonable expectation of privacy’-doctrine in de moderne samenleving nog wel kan worden gehandhaafd. Zij merkt op:
“More fundamentally, it may be necessary to reconsider the premise that an individual has not reasonable expectation of privacy in information voluntarily disclosed to third parties (…). This approach is ill suited to the digital age, in which people reveal a great deal of information about themselves to third parties in the course of carrying out mundane tasks. People disclose the phone number that they dial or text their cellular providers; the URLs they visit and the e-mail addresses with which they correspond to their Internet service providers (…)”.
Toch is ook zij van mening dat het Hooggerechtshof deze vragen niet beantwoord hoeven worden.

Conclusie
Het grote verschil tussen de meerderheids- en minderheidsmening is dat niet geredeneerd wordt vanuit een inbreuk op eigendomsrechten, maar een inbreuk op privacy. De reikwijdte van het Amerikaanse grondrecht wordt door sommige rechters dus breder geïnterpreteerd. Volgens de meerderheid van de rechtbank levert een andere uitleg onnodig complexe vragen op; volstaan kan worden met het vaststellen van de inbreuk op het eigendomsrecht van de verdachte en daarmee de vaststelling van een inbreuk op de Fourth Amendment. Hierdoor worden juist die fundamenteel belangrijke vragen uit de weg gegaan en blijft onduidelijk wanneer opsporingsambtenaren bij elektronische surveillance moeten voldoen aan de vereisten uit de ‘Fourth Amendment’. Wel is het zo dat de Amerikaanse wetgever natuurlijk strikte voorwaarden kan stellen voor het gebruik van opsporingsmethoden. Daar gaat echter altijd een lang proces aan vooraf en in het verleden hebben zijn ze daartoe nog niet bereid geweest.

Zie ook:
https://www.washingtonpost.com/politics/supreme-court-warrants-needed-in-gps-tracking/2012/01/23/gIQAx7qGLQ_story.html
https://www.wired.com/threatlevel/2012/01/scotus-gps-ruling/
https://www.scotusblog.com/2012/01/reactions-to-jones-v-united-states-the-government-fared-much-better-than-everyone-realizes/#more-137698

Brief aan Vereniging van Zorgaanbieders voor Zorgcommunicatie, doorstart landelijke infrastructuur (EPD), kenmerk: z2011-901

Het College bescherming persoonsgegevens (CBP) heeft de plannen beoordeeld op basis waarvan de ‘Vereniging van Zorgaanbieders voor Zorgcommunicatie’ de landelijke uitwisseling van medische gegevens – voorheen bekend als het elektronisch patiëntendossier (EPD) – in 2012 zal voortzetten. Het CBP concludeert dat dit zogeheten ‘Doorstartmodel’ geen bijzondere risico’s bevat op overtreding van de Wet bescherming persoonsgegevens (Wbp). Het CBP wijst er op dat deze conclusie slechts een beoordeling van het Doorstartmodel betreft en niets zegt over de praktijk. Het bovenstaande doet ook niet af aan de toekomstige uitoefening van zijn toezicht op het landelijk EPD. Het CBP zal blijven toezien op de gang van zaken rond het landelijk EPD gezien de schaal van de verwerking van persoonsgegevens en de gevoeligheid van de gegevens.