Kantonrechter Heerenveen Rechtbank Leeuwarden 14 september 2011, LJN BT2352 (Spectrum BV. h.o.d.n. Gymnasion Heerenveen tegen gedaagde)

Abonnement; schriftelijkheidsvereiste, opzeggen per e-mail volstaat.

Gedaagde heeft haar sportschool abonnement per e-mail opgezegd. Sportschool stelt dat in algemene voorwaarden staat dat opzegging per e-mail niet mogelijk is. Niet bewezen dat gedaagde deze voorwaarden heeft aanvaard. Daarom gelden alleen opzeggingsvereisten uit inschrijvingsformulier: schriftelijk en termijn van twee maanden. Kantonrechter oordeelt dat opzegging per e-mail tegenwoordig gelijkgesteld is aan schriftelijke opzegging. Gedaagde heeft niet voldaan aan termijn vereiste, dus dient de ontbrekende abonnementskosten van deze maanden nog te voldoen.

7. Vast staat dat [gedaagde] haar lidmaatschap bij Gymnasion bij e-mail van 23 juli 2009 heeft opgezegd. Naar het oordeel van de kantonrechter dient een dergelijke vorm van opzegging, gelet op de tegenwoordige stand van de communicatie, gelijk te worden gesteld met een schriftelijke opzegging zoals bedoeld op het inschrijfformulier. Vast staat dat Gymnasion genoemde e-mail heeft ontvangen. Wél moet worden vastgesteld dat [gedaagde] middels haar opzegging met onmiddellijke ingang de blijkens het inschrijfformulier geldende opzegtermijn van twee kalendermaanden niet in acht heeft genomen. [gedaagde] had het lidmaatschap derhalve pas tegen 1 oktober 2009 rechtsgeldig kunnen opzeggen. De ontijdige opzegging dient naar het oordeel van de kantonrechter krachtens artikel 3:42 BW te worden geconverteerd in een opzegging tegen 1 oktober 2009, zodat [gedaagde] tot deze datum haar maandelijkse abonnementsgeld van € 47,90 aan Gymnasion diende te voldoen.

Vanaf vandaag kan ieder bedrijf eenvoudig en kostenloos zijn eigen social media gedragscode opstellen met de Social Media Policy Generator op Policygenerator.nl. Na het beantwoorden van een aantal vragen ontvangt een bedrijf een gepersonaliseerde gedragscode voor het gebruik van social media door zijn medewerkers. Hiermee wordt gestimuleerd dat uitingen van medewerkers via social media bijdragen aan de positieve uitstraling van een bedrijf, terwijl tegelijkertijd het risico op imagoschade wordt vermeden. De tool is door MarketingMonday ontwikkeld omdat een dergelijke policy nog niet in alle bedrijven aanwezig is, maar wel noodzakelijk.

BRON: MarketingMonday en PolicyGenerator.nl

Rechtbank Amsterdam 28 september 2011, HA ZA 09-2443 (Stichting BREIN tegen News-Service)

Parallelle publicatie van IEF 10260. Met dank aan Tim Kuik, Stichting BREIN. Auteursrecht. Verwijderen van content waar Usenet provider News-service geen toestemming voor heeft om deze te plaatsen op straffe van een forse dwangsom.

Uit't persbericht: De rechtbank Amsterdam heeft gisteren vonnis gewezen tegen de commerciële Usenet provider News-service Europe (NSE). Zij moet op straffe van een dwangsom van 50.000 euro per dag bestanden met illegale entertainment content van haar servers verwijderen. NSE was gedagvaard door stichting BREIN die rechthebbenden op films, muziek, games, interactieve software en boeken vertegenwoordigt. 

Het in Nederland gevestigde NSE is naar eigen zeggen Europa's grootste Usenet Service Provider (USP). NSE biedt tegen betaling toegang tot vele honderdduizenden entertainment bestanden die in nieuwsgroepen op haar servers staan. Het gaat daarbij om zogeheten 'binaries' waarin films, televisieseries, muziek, games en e-books zijn opgeslagen. Consumenten kopen die toegang via abonnementen van zogeheten 'resellers' van NSE  zoals bijvoorbeeld NewsXS. De beste illegale bestanden konden gevonden worden via indexeringsdiensten als het eerder al op vordering van BREIN verboden FTD die daarvan lijsten met verwijzingen aanlegde.

Commentaar in't kort van Frank van't Geloof, Adriaanse De Meijer advocaten.

De posting van 21 september 2011 op ITenRecht [red. IT 508] met de titel "ICT-aanbesteding: 'ja' met toelichting is 'ja' onder voorwaarden" gaat over een aanbestedingszaak. Uit het daarbij gevoegde kort gedingvonnis blijkt dat in de aanbesteding onder meer was gevraagd of schermen en workflows in de software aanpasbaar waren. Itelligence gaf daarbij aan in hoeverre dat het geval was, Educus gaf eenvoudig 'ja' als antwoord. Dat laatste bleek verstandig: de toelichting van Itelligence leidde tot verlies van de opdracht. Niet aan de orde kwam of het onvoorwaardelijke 'ja' van Educus inderdaad zo onvoorwaardelijk was. Terwijl je zou denken dat juist die vraag de enige relevante was. Aanpasbaarheid van schermen en workflows is bij standaard software immers per definitie beperkt. Hiermee zijn deze aanbesteding en dit vonnis voorbeelden van waar de juridische benadering bij aanbesteding voorbij gaat aan de inhoud van een automatiseringsvraagstuk, en zo niet positief bijdraagt aan de softwareselectie.

Met commentaar in't kort van Walter van Holst, Mitopics.

Onlangs liet parlementslid Pierre Heijnen zich ontvallen dat de tijd wellicht rijp is voor een vorm van klokkeluidersbescherming voor hackers die misstanden in informatiebeveiliging aan het licht brengen. Dat werd verwelkomd door een open brief vanuit die gemeenschap, maar ook met kritiek ontvangen door rechtswetenschappers (Oerlemans en praktijkadvocaten (SOLV). Daarbij slaagde men er niet in om een aantal voor de hand liggende drogredeneringen te vermijden. In dit blog wat nuance, zowel voor als tegen.

Als eerste valt een zekere angstreflex voor misbruik op. Terwijl de huidige situatie eveneens evident tot misbruik leidt, maar dan van misbruik van de wet computercriminaliteit tegen boodschappers van slecht nieuws. Zowel in binnen- als buitenland komt het (te vaak) voor dat exploitanten of uitgevers van slecht beveiligde systemen of software een strafvervolging initiëren om critici de mond te snoeren. Het recente voorbeeld in Nederland is uiteraard TransLink Systems (TLS) dat aangifte deed tegen Brenno de Winter. Minder bekend in Nederland is dat de het Duitse Magix een Zweedse hacker met strafvervolging bedreigde omdat deze een lek in de door Magix uitgegeven muzieksoftware wilde publiceren. Eveneens onbekend is de Duitse zaak van Thomas Roth die zelfs een huiszoeking te verduren kreeg omdat hij op het punt stond een kraakmethode voor een cryptografisch algoritme te publiceren.

Bron van dit ‘gemak’ om eigen incompetentie op beveiligingsvlak af te wentelen op boodschappers van het slechte nieuws is toch vooral het Cybercrimeverdrag. Dat heeft in Nederland er toe geleid dat zelfs het criterium van een doorbreken van een beveiliging is geschrapt uit ons wetboek van strafrecht. Het onbevoegd toegang hebben tot een geautomatiseerd werk is daarmee op zichzelf al een misdrijf geworden, ongeacht of er sprake is van wetenschap van dit gebrek aan bevoegdheid of dat er sprake is van een kwaad opzet of niet. En daarmee is de gevleugelde kreet ‘wat offline geldt moet ook online gelden’ een holle frase geworden. Immers, bij de huis- en erfvredebreuk, waar het delict computervredebreuk schijnbaar bij aan zou sluiten, is er nog sprake van een vereiste van een sommatie om zich uit de voeten te maken alvorens er sprake is van een strafbaar feit. Een dergelijk geobjectiveerd criterium ontbreekt bij de computervredebreuk, wat het tot een aantrekkelijke stok maakt om iedere hond die constateert dat men zijn beveiliging niet op orde heeft te slaan. En aan dit gemak mag, gezien het toenemend maatschappelijk belang bij informatiebeveiliging, best wat gedaan worden.

Wat critici van de gedachte van Heijne uit het oog lijken te verliezen is dat het strafvorderlijk optreden bij verdenkingen van computercriminaliteit een bepaald hoge impact kan hebben. Zeker in het geval van een journalist of een beveiligingsonderzoeker kan dit al snel resulteren in een situatie waarin er een de facto Berufsverbot voor de duur van het strafvorderlijk onderzoek wordt gegeven. Bij een vervolging wegens huisvredebreuk of zelfs diefstal zullen niet snel alle informatiedragers in een huishouden in het strafvorderlijk onderzoek betrokken worden. Een louter vertrouwen op het opportuniteitsbeginsel, ook al lijkt dit redelijk goed te functioneren, is niet voldoende. Hoewel het Openbaar Ministerie zichtbaar groeiende is in haar rol bij het bestrijden van computercriminaliteit is het risico van een disproportionele aanpak in de praktijk te groot gebleken. In de al veel aangehaalde zaak rond de e-mail van Jack de Vries had de telastelegging nog wel een paar onsjes meer gekund, men had immers computervirussen verspreid om een ‘botnet’ op te bouwen. In het geval TLS had het sepot in een veel eerder stadium plaats kunnen vinden, de door Brenno de Winter zelf gepubliceerde verslagen van zijn onderzoeksmethoden hadden het OM al van voldoende aanknopingspunten kunnen voorzien om een afweging te maken.

Waar met name Oerlemans aan voorbijgaat is dat invoering van een expliciete strafuitsluitingsgrond helemaal geen vrijbrief biedt, het is uiteindelijk aan de rechter om een beroep op een dergelijke strafuitsluitingsgrond te honoreren. Daarbij is een proportionaliteitstoets nog steeds heel wel denkbaar, en de strafrechtklassiekers van de Huizense veearts (HR 27-06-1932 NJ 1933, 60 enHR 20-02-1933, NJ 1933, 918) indachtig hebben we het in de kern over een concrete uitwerking van het ontbreken van de materiële wederrechtelijkheid. Hoe in een geval als dat van Nieuwe Revu een beroep op een (geconcretiseerde) materiële wederrechtelijkheid zou kunnen slagen is mij een raadsel.

Ook de door SOLV geuite vrees dat de door de rechtbank Utrecht veroordeelde vervalser van OV-chipkaarten niet vervolgd had kunnen worden lijkt mij onterecht. Om te beginnen was het inzetten van de wet computercriminaliteit in dit geval al het gebruik van een kanon om een mug te beschieten (zie ook IT 183) die voorbij ging aan de kern van het misdrijf: het vervalsen van waardekaarten (art. 232 Sr). Daarnaast is het heel wel mogelijk een aantal critieria te formuleren om een dergelijk beroep kans van slagen te geven. Men kan denken aan cumulatieve eisen als:

En hoewel een dergelijke strafuitsluitingsgrond een stap in de goede richting zou zijn, zijn andere manieren om een dergelijke ‘klokkeluidersbescherming’ in te voeren denkbaar. Mijn voorkeur zou uitgaan naar een grondige herziening van het wetboek van strafrecht en de delictsomschrijving van de computervredebreuk meer in lijn te brengen met die van de huisvredebreuk. Een minder optimale weg is het door de Minister van Justitie uitvaardigen van richtlijnen voor het Openbaar Ministerie die hetzelfde zouden behelzen als de hierbovengenoemde criteria.

Oerlemans en SOLV vinden dat de afweging van algemeen belang tegenover het al dan niet ongeautoriseerd toegang hebben tot een computersysteem per definitie in handen van de rechter moet blijven. Voor mij is de gedachte dat degenen die de kwaliteit van de informatiebeveiliging in de praktijk beter blijken te kunnen beoordelen dan de systeemeigenaar daarbij ook enige ruimte krijgen om een meer ethische afweging temaken bepaald minder vreeswekkend dan de gedachte dat omwille van het rechtsmonopolie van de rechter beveiligingslekken vooral geconstateerd zullen worden door beveiligingsbedrijven en de echte kwaadwillenden. Waarbij ik de beveiligingsbedrijven zeker geen kwaad hart toedraag, het zijn er alleen zo weinig in verhouding tot de echte kwaadwillenden.

Walter van Holst

HvJ EU 15 september 2011, zaak C-347/09 (Jochen Dickinger en  Frans Ömer)

prejudiciële vragen gesteld door Bezirksgericht Linz, Oostenrijk

Een monopolie op het bedrijfsmatig voeren van een internetcasino is te rechtvaardigen alleen wanneer er coherent en stelselmatig risico's die gepaard gaan met zulke spelen bestrijd. In het kader van proportionaliteitstoetsing hoeven nationale gerechten monitoring en controle systemen van bedrijven gevestigd in andere lidstaten niet in ogenschouw te nemen.

56      In deze context moet er in het bijzonder aan worden herinnerd dat een nationale wettelijke regeling slechts geschikt is om de aangevoerde doelstelling te verwezenlijken, wanneer deze verwezenlijking coherent en stelselmatig wordt nagestreefd. De verwijzende rechter dient zich er dus van te vergewissen dat de betrokken beperkende regeling, met name gelet op de concrete wijze waarop zij wordt toegepast, daadwerkelijk beantwoordt aan de bekommernis de gelegenheden tot gokken te verminderen en de activiteiten op dit gebied op samenhangende en stelselmatige wijze te beperken (zie in die zin arrest Stoß e.a., reeds aangehaald, punten 88, 97 en 98).

Het Hof (Vierde kamer) verklaart voor recht:

1)      Het Unierecht, en in het bijzonder artikel 49 EG, verzet zich ertegen dat een inbreuk op een monopolie voor de exploitatie van kansspelen, zoals het monopolie voor de exploitatie van onlinekansspelen waarin de in het hoofdgeding aan de orde zijnde nationale regeling voorziet, strafrechtelijk wordt bestraft indien een dergelijke regeling met dit recht in strijd is.

2)      Artikel 49 EG moet aldus worden uitgelegd dat het van toepassing is op onlinekansspelen die in de lidstaat van ontvangst door een in een andere lidstaat gevestigde marktdeelnemer worden aangeboden, hoewel deze marktdeelnemer:
– in de lidstaat van ontvangst bepaalde informatica-infrastructuur, zoals een server, heeft geïnstalleerd, en
– een beroep doet op ondersteunende informaticadiensten van een in de lidstaat van ontvangst gevestigde dienstverrichter, teneinde voor eveneens in deze lidstaat gevestigde consumenten diensten te verrichten.

3) Artikel 49 EG moet aldus worden uitgelegd dat:
a) een lidstaat die in de kansspelsector een bijzonder hoog niveau van consumentenbescherming wil garanderen, op goede gronden van mening kan zijn dat alleen de verlening van een monopolie aan een enkele organisatie die onder nauw overheidstoezicht staat, een doeltreffend middel is om de aan deze sector verbonden criminaliteit te beheersen, aansporing tot geldverkwisting door gokken te voorkomen en gokverslaving afdoende te bestrijden;
b) een nationale regeling die op het gebied van kansspelen een monopolie instelt, op grond waarvan de monopolist een expansionistisch beleid kan voeren, slechts coherent is met de doelstelling de criminaliteit te bestrijden en de gelegenheden tot gokken te beperken indien:
–  zij is gesteund op de vaststelling dat de aan kansspelen verbonden criminele en frauduleuze activiteiten en de gokverslaving in de betrokken lidstaat een probleem vormen, dat door een uitbreiding van de legale en gereglementeerde activiteiten kan worden opgelost, en
–  zij enkel gematigde reclame toestaat, die strikt beperkt is tot hetgeen nodig is om de consument in de richting van gecontroleerde kansspelcircuits te leiden;

c)      het feit dat de ene lidstaat voor een ander beschermingsstelsel heeft gekozen dan een andere lidstaat, geen invloed kan hebben op de beoordeling van de noodzaak en de evenredigheid van de ter zake getroffen regelingen. Deze dienen immers enkel te worden getoetst aan de door de bevoegde autoriteiten van de betrokken lidstaat nagestreefde doelstellingen en aan het niveau van bescherming dat zij willen waarborgen.

Met dank aan Wanda van Kerkvoorden, SOLV.

Gisteren is - gezien de ontwikkelingen van de afgelopen weken uiteraard niet onverwacht - het faillissement van DigiNotar door de Rechtbank te Haarlem uitgesproken. Het Amerikaanse moederbedrijf Vasco Data Security International Inc heeft in een verklaring aangegeven dat DigiNotar zelf de faillissementsaanvraag heeft ingediend.

Vasco's CEO T. Kendall Hunt stelt het faillissement en met name de aanleiding daarvan te betreuren, maar haast zich om in dezelfde zin de klanten gerust te stellen: "we would like to remind our customers and investors that the incident at DigiNotar has no impact on VASCO's core authentication technology. The technological infrastructures of VASCO and DigiNotar remain completely separated, meaning that there is no risk for infection of VASCO’s strong authentication business."

Een verklaring van Vasco's President Jan Valcke in hetzelfde statement vind ik dan weer wat onhandig.  “While we do not plan to re-enter the certificate authority business in the near future, we expect that we will be able to integrate the PKI/identity verification technology acquired from DigiNotar into our core authentication platform.  As a result, we expect to be able to offer a stronger authentication product line in the coming year to our traditional customers.” Nu de naam van DigiNotar, voorzichtig uitgedrukt, besmet is, vraag ik me af waarom je als Vasco juist nu zou moeten mededelen dat je alsnog hun technologie gaat integreren.

Daarnaast zet ik hier vanuit juridisch opzicht  vraagtekens bij. Om de technologie van DigiNotar te integreren zal Vasco over de intellectuele eigendomsrechten moeten beschikken. Voorzover deze al voor datum faillissement aan Vasco zijn overgedragen, kan de curator zich op het standpunt stellen dat het om een paulianeuze overdracht gaat. Vasco is pas sinds januari van dit jaar eigenaar van DigiNotar dus als er al overdracht van rechten heeft plaatsgevonden, dan zal dat kort geleden gebeurd zijn en zou de curator of een van de schuldeisers mijns inziens zeer goed kunnen aanvoeren dat deze rechtshandeling onverplicht was. De schuldeisers worden benadeeld want het actief (de rechten) zitten niet meer in de boedel en het betreft ook nog eens het handelen met een gelieerde onderneming, het moederbedrijf, waarbij het me sterk lijkt dat  Vasco de marktprijs voor de technologie heeft betaald. Kortom, ook over dit aspect van de DigiNotar-nasleep zal nog wel het nodige te doen zijn. Vasco heeft verklaard alle medewerking aan zowel de curator als de Nederlandse overheid te zullen verlenen, dus onderzoek naar deze rechtshandeling zal, als Vasco haar toezegging gestand doet, mijns inziens snel tot resultaat kunnen leiden.

Lees hier de verklaring van Vasco.

Vzr. Rechtbank ’s-Gravenhage 6 september 2011, KG ZA 11-849 (Itelligence / ID College)

Met dank aan Wim Maas, Deterink.

ICT Aanbesteding. Toelichting in Programma van Eisen en Wensen (PvE) op antwoord 'ja' kan worden aangemerkt als voorwaarden of aannames.

ID College heeft een niet-openbare aanbestedingsprocedure uitgeschreven voor twee percelen: levering software Kernregistratie Deelnemersgegevens en levering omtrent onderwijscatalogus. Itelligence heeft zich ingeschreven voor beide percelen. Inschrijvingen worden beoordeeld aan de hand van het criterium "economisch meest voordelige inschrijving".

Het PvE bestaat uit een lijst met vragen die met "ja" beantwoord dienen te worden. Itelligence heeft alle vragen met "ja" beantwoord. Op enkele vragen heeft zij een nadere toelichting gegeven. Itelligence wordt de percelen niet gegund, nu minder punten zijn toegekend voor de antwoorden die zij nader heeft toegelicht. Het binaire karakter van de antwoorden wordt als voorwaardelijk gezien. Itelligence stelt zich op het standpunt dat de opdracht haar ten onrechte niet is gegund, nu zij de volledige punten voor de betreffende vragen had dienen te krijgen.

Itelligence vordert onder meer intrekking van de voorlopige gunningsbeslissing en gunning aan Itelligence, althans herbeoordeling van de inschrijving van Itelligence, althans heraanbesteding.

ID College voert verweer en stelt onder meer dat de zij uit de nadere toelichting heeft mogen begrijpen dat slechts onder voorwaarden aan de wensen voldaan kon worden. De Voorzieningenrechter wijst de vorderingen van Itelligence af en motiveert een en ander als volgt:

4.4 [..] Het voorgaande leidt tot de slotsom dat het ID College uit de toelichting van Itelligence op de vragen uit het PvE, mede gelet op de door Itelligence op 10 en 17 juni gegeven nadere onderbouwing, heeft mogen begrijpen dat het antwoord 'ja' feitelijk geen onvoorwaardelijk en ondubbelzinnig 'ja' betrof. Zij heeft Itelligence daarom op goede gronden ter zake van die vragen een score van 0 punten toegekend. Hetgeen in het door Itelligence overgelegde deskundigenrapport is vermeld, doet aan het voorgaande niet af, nu door Itelligence na de inschrijving verstrekte gegevens niet kunnen en mogen dienen ter onderbouwing van haar standpunt dat haar ter zake van de wensen de maximale scores hadden moeten worden toegekend. Zulks zou immers in strijd zijn met het gelijkheidsbeginsel.

4.5 Tegenover het standpunt van Itelligence dat ter zake van de vragen uit het PvE niet is vermeld in welke mate eraan tegemoet moet worden gekomen om voor een score in aanmerking te komen en dat zij derhalve heeft mogen begrijpen dat het geringste 'ja' tot een score zou leiden, heeft het ID College voldoende aannemelijk gemaakt dat Itelligence haar bezwaren op dit punt noch voor de inschrijving,noch nadat haar op 6 juni en 16 juni 2011 om een nadere onderbouwing van haar antwoorden is gevraagd, aan het ID College kenbaar heeft gemaakt. Gelet op de tekst van het Aanbestedingsdocument (paragraag 2.4.1 en 4.3.12) en het antwoord op vraag 154 in de derde Nota van Inlichtingen had het voor Itelligence als behoorlijk geïnfomeerde en normaal oplettende inschrijver duidelijk moeten zijn dat het antwoord 'ja' onvoorwaardelijk en zonder aannames diende te zijn. Anders dan Itelligence heeft gesteld, heeft zij dan ook niet mogen begrijpen dat ieder antwoord op de vraag dat enigszins aan de wens tegemoet komt zonder meer tot een toekenning van punten zou leiden. Aan deze stelling van Itelligence wordt daarom voorbij gegaan.

[..]

4.9 Meer subsidiair heeft Itelligence gevorderd het ID College te veroordelen tot een heraanbesteding van de Opdracht over te gaan. Dienaangaande wordt het volgende overwogen. Aan haar vordering heeft Itelligence ten grondslag gelegd dat het ID college ten onrechte heeft nagelaten om aan te geven aan de hand van welke maatstaf de inschrijvingen zouden worden beoordeeld, zodat de inschrijvers hebben mogen veronderstellen dat zij voor het scoren van punten een antwoord op de vragen uit het PvE moesten geven dat in enige mate tegemoet kwam aan de wensen. Echter, zoals hiervoor onder 4.5 reeds is overwogen moest het gelet op het Aanbestedingsdocument en de derde Nota van Inlichtingen voor een behoorlijk geïnformeerde en normaal oplettende inschrijver duidelijk zijn dat het antwoord op de vragen geen voorwaarden of aannames mocht bevatten. Dat de (her-)beoordeling door het ID College in strijd met de voor de inschrijving kenbaar gemaakte beoordelingssystematiek heeft plaatsgevonden en dat daarbij andere maatstaven zijn gehanteerd dan op grond van de aanbestedingsstukken voor de inschrijvers te verwachten was, in naar voorlopig oordeel dan ook niet gebleken. De meer subsidiaire vordering wordt daarom afgewezen.

met dank aan Rob van den Hoven van Genderen en Walter van Holst, Mitopics.

Na een golf van berichten over Diginotar, tot en de faillietverklaring van DigiNotar van vandaag blijven er toch wel een behoorlijk aantal eindjes open. In dit blog van Rob van den Hoven van Genderen en Walter van Holst een aantal invalshoeken.Twee weken geleden werd bekend dat (vermoedelijk) Iraanse hackers bij het Beverwijkse bedrijf Diginotar hebben ingebroken en via de vervalste Diginotar veiligheidscertificaten Iraans Google Mail-verkeer hadden afgetapt. De aansprakelijkheidsvraag voor deze inbraak werd in eerste instantie impliciet bij DigiNotar gelegd door minister Donner. Ook werd DigiNotar geacht het slachtoffer van criminelen te zijn, te weten de Iraanse overheid en sympathiserende hackers.  Online overheidsdiensten zoals DigiD, eveneens beveiligd via een (gekwalificeerd) certificaat van Diginotar, zouden geen gevaar lopen. Er werd in eerste instantie door de minister er vanuit gegaan dat de gescheiden omgeving voor gekwalificeerde certificaten ook daadwerkelijk gescheiden was. Dat wil zeggen tot vrijdag 3 september. Toen gaf browsermaker Mozilla aan DigiNotar niet meer te vertrouwen, gevolgd door de minister van BZK in een nachtelijke persconferentie. Uit onderzoek van Fox IT bleek namelijk dat het bij DigiNotar zelfs aan de meest elementaire maatregelen tot beveiliging ontbrak. Wat terecht al tijdens de persconferentie de vraag opriep of DigiNotar niet aansprakelijk te houden was.

Hoewel het systeem van gekwalificeerde certificaten niet tot onder de algemene kennis juristen, zelfs van IT-juristen, pleegt te vallen zijn er meerdere rechtsgebieden die in beeld komen:

• Strafrechtelijk: kan DigiNotar strafrechtelijk vervolgd worden voor lekken bij derden die ontstaan zijn door de zeer late melding van hun eigen probleem?

• Privaatrechtelijk: kan DigiNotar aansprakelijk gesteld worden voor de geleden schade?

• Bestuursrechtelijk: hoe rechtsgeldig zijn de bestuurshandelingen die verricht zijn met, inmiddels ongeldige, certificaten van DigiNotar als authenticatiemiddel?

Strafrechtelijke vervolgbaarheid
Bij een hypothetisch strafrechtelijk onderzoek dient op na het feitenonderzoek de vraag te worden beantwoord of hier sprake is van een strafbaar feit, bijvoorbeeld op grond van het voldoen aan de delictsomschrijving van artikel 161septies wetboek van strafrecht.

Of zijn zij medeschuldig aan computervredebreuk (naast natuurlijk de hackers)? . Is er sprake van voorwaardelijke opzet? van DigiNotar of van een falende controlerende overheid? Er lijkt op zijn minst gelegenheid te zijn geboden door de kans op opzettelijk misbruik aanzienlijk te vergroten, maar dat als verwijtbaar in deze zin aanmerken zou een strafrechtelijk novum zijn.Wel zou de nalatigheid van DigiNotar in beeld kunnen komen voorzover er sprake is van computervredebreuk in andere systemen, zoals dat van Google Mail, door (waarschijnlijk) de Iraanse overheid. We komen dan al snel in moeilijke discussies over rechstmacht (tenzij het om het Google rekencentrum in Nederland zou gaan).De strafrechtelijke vervolgbaarheid lijkt daarom vooralsnog een moeilijke.

Privaatrechtelijke aansprakelijkheid

Allereerst zijn we het niet eens met Arnoud Engelfriet zijn constatering dat het lastig zal zijn om schade op DigiNotar te verhalen. Waarbij overigens opgemerkt moet worden dat Arnoud zijn blog schreef op een moment toen de omvang van het probleem veel kleiner leek dan nu is gebleken. Er zijn namelijk meerdere rollen van DigiNotar:

• DigiNotar als uitgever van gekwalificeerde certificaten (die dezelfde waarde aan een elektronische handtekening geven als een klassieke handtekening); en

• DigiNotar als uitgever van de (ongereguleerde) reguliere SSL-certificaten.

Verder is het ook de vraag tegenover wie:

• Alle (vooral) Nederlandse (overheids)partijen die nu inderhaast certificaten hebben moeten vervangen en geconfronteerd zijn met verstoringen van processen als gevolg hiervan of het inmiddels niet meer erkend worden van oude certificaten door o.a. Microsoft?

• De partijen waar de certificaten onterecht aan werden toegeschreven, zoals Google, Microsoft?

• Iraanse dissidenten die het slachtoffer zijn geworden van de afluisterpraktijken die mogelijk waren door nalatigheid van DigiNotar?

Initieel leek het er op dat alleen DigiNotar’s omgeving voor reguliere SSL-certificaten gecompromitteerd was. Wat in dit geval wel heel ernstig is, is dat DigiNotar niet zelf naar buiten is getreden toen geconstateerd is dat buitenstaanders zich toegang hadden verschaft. Nog erger is dat DigiNotar naar het zich laat aanzien maar heel beperkt onderzocht heeft hoe groot het probleem nu werkelijk was. Daarmee is kostbare tijd verloren voor derden om maatregelen te kunnen treffen.

Wrang is dat  degenen die de meeste schade geleden hebben waarschijnlijk het minste in een positie zijn om de inmiddels failliete boedel van DigiNotar aan te spreken, zelfs maar hypothetisch. Dat zijn waarschijnlijk Iraanse dissidenten die voor hun leven moeten vrezen. Los van de praktische onmogelijkheid om DigiNotar aan te spreken vanuit een martelcel in Teheran zal aangetoond moeten worden dat het voor DigiNotar voorzienbaar was dat zij deze schade zouden kunnen leiden en dat DigiNotar derhalve een zorgplicht jegens hen had. Met wederom het vraagstuk van de rechtsmacht.

Voor partijen als Google en Microsoft waarvan certificaten waren vervalst zal het lastig zijn om concrete schade (enigszins overgesimplificeerd: concrete uitgaven om schade te herstellen of te voorkomen) aan te tonen, waarbij ze ook nog de hoge drempel over moeten bij het aantonen dat DigiNotar een zorgplicht jegens hen had die geschonden is. Die concrete schade zal vrijwel niet aantoonbaar zijn. Ook lastig is dat een aanspraak op grond van onrechtmatige daad gedaan zou worden, en niet op grond van een toerekenbare tekortkoming (wanprestatie).

Resteren de getroffen overheden en andere afnemers van gekwalificeerde certificaten. Die hebben veelal overuren en kosten moeten maken om in allerijl certificaten te organiseren van wél betrouwbare certificatenleveranciers. Dat is concrete schade, schade die waarschijnlijk kleiner was geweest als DigiNotar de inbraak wél adequaat had onderzocht en haar klanten tijdig had geïnformeerd. Waarbij nog komt dat een zorgplicht van DigiNotar veel makkelijker aangenomen zal worden omdat er nu eenmaal een overeenkomst bestond tussen partijen.

Bestuursrechtelijke dimensie

Een nog nauwelijks besproken dimensie is de bestuursrechtelijke. Veel overheden gebruikten gekwalificeerde certificaten van DigiNotar om communicatie rondom elektronisch bestuurlijk verkeer te authenticeren. De Algemene wet bestuursrecht (Awb) luidt op dit punt als volgt:

Nu bleek dat de omgeving waarin DigiNotar de gekwalificeerde certificaten aanmaakte en beheerde gecompromitteerd was rijst de vraag of DigiNotar certificaten niet vanaf het moment van inbraak niet langer aan deze eis voldeden. Wat met terugwerkende kracht zou betekenen duizenden beschikkingen van o.a. de Belastingdienst, de RDW en honderden gemeenten niet aan dit elementaire vormvoorschrift voldoen. In dat licht is het dan ook vreemd dat omwille van de stabiliteit van de overheidsdienstverlening ontraden werd om automatische updates van Microsoft software uit te rollen. Die overheidsdienstverlening had met evenveel recht net zo goed stilgelegd kunnen worden. Want als we de de memorie van toelichting van dit wetsartikel er bij pakken, dan zien we op pagina 15 dat er met voldoende betrouwbaar o.a. het volgende bedoeld wordt:

 De subnormen authenticiteit en integriteit zijn nadrukkelijk in het geding. Het zal hier echter vooral afhangen of er burgers of bedrijven zijn die dit argument gaan gebruiken. Het wachten is dus op bijvoorbeeld een slimme fiscalist die een elektronische beschikking van de Belastingdienst aanvecht op deze gronden. Zeker in die situaties waarin een bestuursorgaan binnen een bepaalde termijn zal moeten beslissen kan dit een interessante situatie opleveren. Wordt ongetwijfeld nog vervolgd.

Rechtbank Amsterdam 15 september 2011, LJN BS8892 (Duizend jaar Kruiden B.V. tegen gedaagde en Synnray)

Vordering tot het verwijderen van een uitlating op een discussieplatform op internet afgewezen. De voorzieningenrechter oordeelt dat de uitlating binnen de grenzen van de vrijheid van meningsuiting valt. Vorderingen afgewezen, Proceskostenveroordeling.

4.2.  Uitgangspunt is dat toewijzing van de vorderingen van Duizend Jaar Kruiden een beperking zou inhouden van het in artikel 10 lid 1 van het Europees Verdrag tot Bescherming van de Rechten van de Mens en de Fundamentele Vrijheden (EVRM) neergelegde grondrecht van gedaagden op vrijheid van meningsuiting. Een dergelijk recht kan slechts worden beperkt indien dit bij wet is voorzien en noodzakelijk is in een democratische samenleving, bijvoorbeeld ter bescherming van de goede naam en de rechten van anderen (artikel 10 lid 2 EVRM). Daarnaast dient een dergelijke beperking proportioneel te zijn. Van een beperking die bij de wet is voorzien is sprake, wanneer de uitlatingen van gedaagden onrechtmatig zijn in de zin van artikel 6:162 van het Burgerlijk Wetboek (BW). Voor het antwoord op de vraag of dit het geval is, dienen alle omstandigheden van het betrokken geval in ogenschouw te worden genomen.

4.4.  Bij het oordeel dat [gedaagde 1] is gebleven binnen de grenzen van het recht op vrijheid van meningsuiting, is van belang dat in dit kort geding niet kan worden vastgesteld wat de betekenis is van het woord nima waarvan [gedaagde 1] veelvuldig gebruik heeft gemaakt. Volgens de door Duizend Jaar Kruiden ingeschakelde vertaler (L.M. Petit) betekent nima “fuck your mother”. Duizend Jaar Kruiden heeft daaraan de conclusie verbonden dat dit woord, met name in de Chinese cultuur, een uiterst beledigend scheldwoord is. Daarentegen zijn door gedaagden twee andere verklaringen in het geding gebracht van M.S. Lee en P.N. Kuiper, beiden net als Petit beëdigd vertalers. Uit de verklaring van Kuiper blijkt dat nima een versluierde uitdrukking is, populair onder jongeren op het internet, die letterlijk “jouw moeder” kan betekenen en waarmee een op dubbelzinnigheid gericht komisch effect wordt beoogd (vergelijkbaar met het Nederlandse “potdorie”). Uit de verklaring van Lee blijkt eveneens dat nima op dit moment een populair woord is dat door jongeren op het internet wordt gebruikt. Het woord kent heel veel betekenissen, aldus Lee. Nima zal volgens Lee op de langere termijn in de vergetelheid raken. Ook hij wijst op het komisch effect van het woord en hij vergelijkt het met het Nederlandse woord “jeetje”. Gezien de tegenstrijdige vertalingen/verklaringen kan op voorhand niet worden gezegd dat de betekenis van het woord nima dermate grievend of beledigend zou zijn, dat dit de uitlatingen van [gedaagde 1] onrechtmatig zou maken. Derhalve kunnen ook op deze grond de vorderingen jegens [gedaagde 1] niet worden toegewezen.

4.5.  Ook het beroep van Duizend Jaar Kruiden op de Non-disclosure bepaling uit de overeenkomst (zie 2.1) faalt. De informatie die [gedaagde 1] op het internet heeft prijsgegeven kan voorshands niet worden aangemerkt als “any information of a confidential nature concerning the Employer”, zoals de desbetreffende bepaling voorschrijft. [gedaagde 1] deelt haar persoonlijke ervaringen met anderen. Het is niet zo dat zij vertrouwelijke of concurrentiegevoelige informatie van of over Duizend Jaar Kruiden openbaar heeft gemaakt. De voorzieningenrechter is bovendien van oordeel dat het belang van Duizend Jaar Kruiden dat andere potentiële werknemers zich niet laten afschrikken door de ervaringen van [gedaagde 1], in de gegeven omstandigheden minder zwaar dient te wegen dan de vrijheid van meningsuiting van [gedaagde 1].

4.7.  Tot slot heeft Duizend Jaar Kruiden nog bezwaar gemaakt tegen de foto’s van haar bedrijfsruimte op gogodutch. Onduidelijk is echter wie die foto’s (die overigens een neutraal karakter hebben) heeft geplaatst en – mocht op die foto’s auteursrecht rusten – wie de maker van die foto’s is. Dit bezwaar van Duizend Jaar Kruiden dan derhalve niet bijdragen tot het toewijzen van (een van) de vorderingen.

4.8.  Nu de vorderingen worden afgewezen, zal Duizend Jaar Kruiden in de proceskosten worden veroordeeld. Deze kosten worden aan de zijde van [gedaagde 1] begroot op € 71,- aan griffierecht en € 816,- aan salaris advocaat. Aan de zijde van Synnray worden de kosten begroot op € 568,- aan griffierecht en op € 816,- aan salaris advocaat.